Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется:
Внешние клиенты (дополнительные сведения)
Внешняя идентификация Microsoft Entra добавляет в ваше приложение на платформе Microsoft Entra управление идентификацией и доступом клиентов (CIAM), обеспечивая согласованную интеграцию приложений, управление арендаторами и рабочие процессы в сценариях для сотрудников и клиентов.
Эта статья является руководством по принятию решений для шести этапов планирования. В каждом разделе приведены ключевые варианты и ссылки на канонические инструкции и справочные документы.
Перейдите к шагу для получения подробных сведений или перейдите прямо к руководствам.
Шаг 1. Создание внешнего арендатора
Внешний клиент — это ресурс, в котором вы регистрируете приложения и управляете удостоверениями клиентов, отдельно от вашего клиента рабочей силы. При создании вы выбираете его географическое расположение и доменное имя. Если в настоящее время вы используете Azure AD B2C, существующие клиенты B2C не затрагиваются; см. раздел "Планирование миграции с Azure AD B2C на внешний идентификатор".
Это важно
С 1 мая 2025 г. Azure Active Directory B2C (Azure AD B2C) больше недоступен для новых клиентов. Дополнительные сведения см. в разделе Is Azure AD B2C по-прежнему доступно для покупки? в наших часто задаваемых вопросов.
Каталог содержит учетные записи администратора и учетные записи клиентов. Клиенты обычно самозарегистрируются; вы также можете создать локальные учетные записи. Учетные записи клиентов имеют ограниченный набор разрешений по умолчанию и не могут видеть других пользователей, групп или устройств.
Как создать внешнего арендатора
- Создайте внешнего арендатора в центре администрирования Microsoft Entra.
- У вас еще нет клиента? Запустите бесплатную пробную версию.
- Используете VS Code? Используйте расширение Внешняя идентификация Microsoft Entra (подробнее).
Шаг 2. Выбор подхода к проверке подлинности
Определите, как создать интерфейс входа перед регистрацией приложения. Этот выбор определяет дальнейший ход интеграции.
- Аутентификация, делегированная браузеру — Microsoft размещает страницу входа; ваше приложение перенаправляет пользователей на неё. Широкая поддержка платформы, единый вход в системный браузер, более низкое обслуживание.
- Встроенная проверка подлинности — приложение размещает пользовательский интерфейс входа и вызывает MSAL или собственный API проверки подлинности напрямую. Полный контроль пользовательского интерфейса, больше ответственности за разработку и безопасность.
Выбор подхода проверки подлинности
- Выберите подход проверки подлинности — сравнение функций и компромиссы.
- Обзор собственной аутентификации — подробности, если вы рассматриваете собственную аутентификацию.
Шаг 3. Регистрация приложения
Зарегистрируйте приложение во внешнем клиенте, чтобы установить отношение доверия с Microsoft Entra ID. Параметры, которые вы настраиваете, зависят от подхода проверки подлинности, выбранного на шаге 2.
| Setting | Делегировано браузером | Встроенная аутентификация |
|---|---|---|
| Перенаправляющий URI | Обязательный (соответствует обратному вызову входа в приложение) | Требуется только как веб-альтернатива |
| Общедоступные потоки клиентов | Не требуется | Enabled |
| Встроенная аутентификация | Не требуется | Enabled |
После регистрации приложения обновите код с помощью идентификатора приложения (клиента), поддомена клиента и (если применимо) секрета клиента.
Как зарегистрировать ваше приложение
- Найдите рекомендации для конкретной платформы на странице "Примеры" по типу приложения и языку.
- Если платформа не указана, следуйте краткому руководству по регистрации приложения .
- Параметры собственного приложения проверки подлинности см. в разделе "Как включить собственную проверку подлинности".
Шаг 4. Интеграция потока входа с приложением
Создайте пользовательский поток регистрации и входа, определяющий методы входа, атрибуты, которые нужно собирать, и поставщиков удостоверяющих данных для вашего приложения. Вы создаете поток пользователя одинаково для обоих подходов к проверке подлинности; Разница заключается в том, как ваше приложение управляет им во время выполнения:
| Делегировано браузером | Встроенная аутентификация | |
|---|---|---|
| Поведение среды выполнения | Приложение перенаправляется на страницу входа, размещенной в Microsoft | Приложение вызывает API собственной проверки подлинности MSAL из собственного пользовательского интерфейса |
| Поддерживаемые типы приложений | Web, SPA, mobile, демон | Мобильные, SPA |
| Федеративные поставщики идентификации (социальные, внешние IdP) | Поддерживается | Не поддерживается — при необходимости используйте делегирование браузеру |
| Фирменная символика компании | Применимо к страницам, размещённым корпорацией Microsoft | Управление в пользовательском интерфейсе или локализации приложения |
| Коллекция атрибутов | Настроено в пользовательском потоке | Настроено в потоке пользователя; отправлено с помощью построителя атрибутов пользователя MSAL |
Планирование потока пользователя
- Количество потоков пользователей. Каждое приложение использует один поток пользователя. Вы можете использовать один поток для нескольких приложений или создать до 10 потоков для каждого арендатора для различных сценариев использования.
- Атрибуты для сбора. Определите, какие встроенные атрибуты вам нужны и нужны ли пользовательские атрибуты.
- Условия предоставления согласия. Используйте настраиваемые атрибуты для сбора согласия со ссылками на ваши условия и политики конфиденциальности.
- Утверждения токена.Добавьте в токен необходимые утверждения, если ваше приложение зависит от них.
- Методы входа. Локальные учетные записи (одноразовый код по электронной почте, электронная почта + пароль) работают с обоими подходами. Федеративные поставщики (Google, Facebook, Apple, другой клиент Microsoft Entra, пользовательский OIDC) требуют делегированной браузером проверки подлинности.
Интеграция потока пользователя с приложением
- Определите настраиваемые атрибуты (при необходимости).
- Создайте пользовательский процесс регистрации и входа.
- Добавьте ваше приложение в поток пользователя.
- Подключите код вашего приложения:
- Делегирование браузеру: воспользуйтесь примером или кратким руководством для вашего типа приложения.
- Собственная аутентификация: ознакомьтесь с обзором и руководствами по собственной аутентификации.
Шаг 5. Защита входа
Каждому клиентскому приложению требуется MFA и базовая проверка безопасности. Нативные приложения для аутентификации требуют дополнительных мер: поскольку ваше приложение является внешней точкой входа, вы размещаете перед ним межсетевой экран веб-приложений (WAF). Приложения, делегирующие вход браузеру, наследуют механизмы защиты платформы Microsoft на размещаемых страницах входа.
- Включите MFA.Доступные методы MFA.
- Проверьте безопасность и управление. Условный доступ, политики на основе рисков, аудит. См. статью "Безопасность и управление".
- Добавить защиту от ботов(только для встроенной аутентификации). Требуется личный ДОМЕН URL-адреса. См. статью "Интеграция защиты сторонних ботов".
- Добавьте защиту от компрометации учетной записи(только для встроенной аутентификации). Требуется личный ДОМЕН URL-адреса. См. Интеграция защиты от ATO сторонних поставщиков.
Шаг 6. Настройка входа
Настройте внешний вид входа и расширьте его с помощью собственной бизнес-логики. При собственной аутентификации приложение само управляет пользовательским интерфейсом, поэтому функция фирменного оформления компании в Microsoft Entra не применяется — управляйте визуальным оформлением и локализацией в коде приложения.
- Настроить брендинг(только при делегировании браузером). Примените логотип, цвета и строки языка к страницам входа, размещенным Microsoft. См. статью "Настройка внешнего вида входа".
- Используйте личный домен URL-адреса. Замените хост по умолчанию
ciamlogin.comна собственный домен. Также является обязательным условием для встроенной защиты от ботов и атак захвата аккаунтов (ATO) при нативной аутентификации на этапе 5. См. раздел "Личный URL-адрес". - Добавьте пользовательские расширения проверки подлинности. Расширьте поток с помощью логики на стороне сервера. Расширения для выпуска токенов работают с обоими подходами; расширения для сбора атрибутов работают только с делегированием браузеру. См. настраиваемые расширения аутентификации.
Следующие шаги
- Запустите бесплатную пробную версию или создайте внешний клиент.
- Найдите примеры и рекомендации по интеграции приложения.
- Узнайте, как перенести пользователей из текущего поставщика удостоверений.
- См. также Центра разработчиков Внешняя идентификация Microsoft Entra для последних материалов и ресурсов для разработчиков.
- Руководство по развертыванию Внешняя идентификация Microsoft Entra для операций безопасности