Планирование управления удостоверениями клиентов и доступом

Применяется: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применяется к внешним клиентам. Внешние клиенты (дополнительные сведения)

Внешняя идентификация Microsoft Entra добавляет в ваше приложение на платформе Microsoft Entra управление идентификацией и доступом клиентов (CIAM), обеспечивая согласованную интеграцию приложений, управление арендаторами и рабочие процессы в сценариях для сотрудников и клиентов.

Эта статья является руководством по принятию решений для шести этапов планирования. В каждом разделе приведены ключевые варианты и ссылки на канонические инструкции и справочные документы.

Схема, показывающая шесть шагов установки в виде горизонтального потока: создание внешнего клиента, выбор подхода к проверке подлинности, регистрация приложения, интеграция потока входа, защита входа и настройка входа.

Перейдите к шагу для получения подробных сведений или перейдите прямо к руководствам.

Этап Практические руководства
Шаг 1. Создание внешнего клиента Создание внешнего клиента
Или запуск бесплатной пробной версии
Шаг 2. Выбор подхода к проверке подлинности Выбор подхода проверки подлинности
Шаг 3. Регистрация приложения Регистрация приложения
Шаг 4. Интеграция потока входа с приложением • Создание потока
Шаг 5. Защита входа Добавление многофакторной проверки подлинности (MFA)

(собственная проверка подлинности)
Интеграция сторонней защиты ATO(собственная проверка подлинности)
Шаг 6. Настройка входа Настроить фирменное оформление(через браузер)
Использовать собственный домен URL
Добавить пользовательские расширения аутентификации

Шаг 1. Создание внешнего арендатора

Схема, показывающая последовательность настройки, где выделен шаг 1: создание внешнего арендатора.

Внешний клиент — это ресурс, в котором вы регистрируете приложения и управляете удостоверениями клиентов, отдельно от вашего клиента рабочей силы. При создании вы выбираете его географическое расположение и доменное имя. Если в настоящее время вы используете Azure AD B2C, существующие клиенты B2C не затрагиваются; см. раздел "Планирование миграции с Azure AD B2C на внешний идентификатор".

Это важно

С 1 мая 2025 г. Azure Active Directory B2C (Azure AD B2C) больше недоступен для новых клиентов. Дополнительные сведения см. в разделе Is Azure AD B2C по-прежнему доступно для покупки? в наших часто задаваемых вопросов.

Каталог содержит учетные записи администратора и учетные записи клиентов. Клиенты обычно самозарегистрируются; вы также можете создать локальные учетные записи. Учетные записи клиентов имеют ограниченный набор разрешений по умолчанию и не могут видеть других пользователей, групп или устройств.

Как создать внешнего арендатора

Шаг 2. Выбор подхода к проверке подлинности

Схема, показывающая поток установки с шагом 2, выберите подход проверки подлинности, выделенный.

Определите, как создать интерфейс входа перед регистрацией приложения. Этот выбор определяет дальнейший ход интеграции.

  • Аутентификация, делегированная браузеру — Microsoft размещает страницу входа; ваше приложение перенаправляет пользователей на неё. Широкая поддержка платформы, единый вход в системный браузер, более низкое обслуживание.
  • Встроенная проверка подлинности — приложение размещает пользовательский интерфейс входа и вызывает MSAL или собственный API проверки подлинности напрямую. Полный контроль пользовательского интерфейса, больше ответственности за разработку и безопасность.

Выбор подхода проверки подлинности

Шаг 3. Регистрация приложения

Схема, показывающая последовательность настройки, на которой выделен шаг 3: зарегистрируйте приложение.

Зарегистрируйте приложение во внешнем клиенте, чтобы установить отношение доверия с Microsoft Entra ID. Параметры, которые вы настраиваете, зависят от подхода проверки подлинности, выбранного на шаге 2.

Setting Делегировано браузером Встроенная аутентификация
Перенаправляющий URI Обязательный (соответствует обратному вызову входа в приложение) Требуется только как веб-альтернатива
Общедоступные потоки клиентов Не требуется Enabled
Встроенная аутентификация Не требуется Enabled

После регистрации приложения обновите код с помощью идентификатора приложения (клиента), поддомена клиента и (если применимо) секрета клиента.

Как зарегистрировать ваше приложение

Шаг 4. Интеграция потока входа с приложением

Схема, показывающая процесс настройки, где выделен шаг 4: интеграция процесса входа в приложение.

Создайте пользовательский поток регистрации и входа, определяющий методы входа, атрибуты, которые нужно собирать, и поставщиков удостоверяющих данных для вашего приложения. Вы создаете поток пользователя одинаково для обоих подходов к проверке подлинности; Разница заключается в том, как ваше приложение управляет им во время выполнения:

Делегировано браузером Встроенная аутентификация
Поведение среды выполнения Приложение перенаправляется на страницу входа, размещенной в Microsoft Приложение вызывает API собственной проверки подлинности MSAL из собственного пользовательского интерфейса
Поддерживаемые типы приложений Web, SPA, mobile, демон Мобильные, SPA
Федеративные поставщики идентификации (социальные, внешние IdP) Поддерживается Не поддерживается — при необходимости используйте делегирование браузеру
Фирменная символика компании Применимо к страницам, размещённым корпорацией Microsoft Управление в пользовательском интерфейсе или локализации приложения
Коллекция атрибутов Настроено в пользовательском потоке Настроено в потоке пользователя; отправлено с помощью построителя атрибутов пользователя MSAL

Планирование потока пользователя

  • Количество потоков пользователей. Каждое приложение использует один поток пользователя. Вы можете использовать один поток для нескольких приложений или создать до 10 потоков для каждого арендатора для различных сценариев использования.
  • Атрибуты для сбора. Определите, какие встроенные атрибуты вам нужны и нужны ли пользовательские атрибуты.
  • Условия предоставления согласия. Используйте настраиваемые атрибуты для сбора согласия со ссылками на ваши условия и политики конфиденциальности.
  • Утверждения токена.Добавьте в токен необходимые утверждения, если ваше приложение зависит от них.
  • Методы входа. Локальные учетные записи (одноразовый код по электронной почте, электронная почта + пароль) работают с обоими подходами. Федеративные поставщики (Google, Facebook, Apple, другой клиент Microsoft Entra, пользовательский OIDC) требуют делегированной браузером проверки подлинности.

Интеграция потока пользователя с приложением

Шаг 5. Защита входа

Схема, на которой показана последовательность настройки с выделенным шагом 5 «Защитите вход в систему».

Каждому клиентскому приложению требуется MFA и базовая проверка безопасности. Нативные приложения для аутентификации требуют дополнительных мер: поскольку ваше приложение является внешней точкой входа, вы размещаете перед ним межсетевой экран веб-приложений (WAF). Приложения, делегирующие вход браузеру, наследуют механизмы защиты платформы Microsoft на размещаемых страницах входа.

Шаг 6. Настройка входа

Схема, на которой выделен шаг 6 «Настройка входа в систему» в процессе настройки.

Настройте внешний вид входа и расширьте его с помощью собственной бизнес-логики. При собственной аутентификации приложение само управляет пользовательским интерфейсом, поэтому функция фирменного оформления компании в Microsoft Entra не применяется — управляйте визуальным оформлением и локализацией в коде приложения.

  • Настроить брендинг(только при делегировании браузером). Примените логотип, цвета и строки языка к страницам входа, размещенным Microsoft. См. статью "Настройка внешнего вида входа".
  • Используйте личный домен URL-адреса. Замените хост по умолчанию ciamlogin.com на собственный домен. Также является обязательным условием для встроенной защиты от ботов и атак захвата аккаунтов (ATO) при нативной аутентификации на этапе 5. См. раздел "Личный URL-адрес".
  • Добавьте пользовательские расширения проверки подлинности. Расширьте поток с помощью логики на стороне сервера. Расширения для выпуска токенов работают с обоими подходами; расширения для сбора атрибутов работают только с делегированием браузеру. См. настраиваемые расширения аутентификации.

Следующие шаги