Co jsou externí identity v Azure Active Directory?
Pomocí externích identit v Azure AD můžete lidem mimo vaši organizaci umožnit přístup k vašim aplikacím a prostředkům a zároveň jim umožnit přihlášení pomocí jakékoli identity, které dáváte přednost. Vaši partneři, distributori, dodavatelé, dodavatelé a další uživatelé hostů mohou "používat své vlastní identity". Bez ohledu na to, jestli má digitální identitu vystavenou podnikovou nebo státní spravovanou, nebo nespravovanou sociální identitu, jako je Google nebo Facebook, mohou k přihlášení použít vlastní přihlašovací údaje. Zprostředkovatel identity externího uživatele spravuje svou identitu a vy spravujete přístup k aplikacím pomocí Azure AD, abyste své prostředky ochránili.
Scénáře externích identit
Externí identity Azure AD se méně zaměřuje na vztah uživatele k vaší organizaci a více na to, jak se chce uživatel přihlašovat k vašim aplikacím a prostředkům. V rámci této architektury Azure AD podporuje celou řadu scénářů od spolupráce B2B (business-to-business) až po správu přístupu k aplikacím pro zákazníky, zákazníky nebo občany (B2C).
Sdílejte své aplikace a prostředky s externími uživateli (spolupráce B2B). Pozvěte externí uživatele do vlastního tenanta jako uživatele "hosta", ke které můžete přiřadit oprávnění (pro autorizaci), a zároveň jim umožníte používat jejich stávající přihlašovací údaje (pro ověřování). Uživatelé se ke sdíleným prostředkům přihlašují jednoduchým procesem pozvání a uplatnění pozvánky pomocí pracovního, školního nebo jiného e-mailového účtu. Správu nároků Azure AD můžete použít také ke konfiguraci zásad, které spravují přístup pro externí uživatele. Díky dostupnosti toků uživatelů samoobslužnéregistrace teď můžete externím uživatelům umožnit, aby se zaregistrovali k vlastním aplikacím. Prostředí je možné přizpůsobit tak, aby bylo možné se zaregistrovat pomocí pracovní, školní nebo sociální identity (jako je Google nebo Facebook). Během procesu registrace můžete také shromažďovat informace o uživateli. Další informace najdete v dokumentaci k Azure AD B2B.
Vytvářete cesty uživatelů pomocí řešení pro správu identit s bílým popiskem pro aplikace pro zákazníky a uživatele (Azure AD B2C). Pokud jste firma nebo vývojář, který vytváří aplikace pro zákazníky, můžete škálovat na miliony uživatelů, zákazníků nebo občanů pomocí Azure AD B2C. Vývojáři mohou azure AD používat jako plnohodnotný systém pro správu identit a přístupu zákazníků (CIAM) pro své aplikace. Zákazníci se mohou přihlásit pomocí již zavedené identity (například Facebook nebo Gmail). Díky Azure AD B2C můžete zcela přizpůsobit a řídit způsob, jakým se zákazníci registrují, přihlašují a spravují své profily při používání vašich aplikací. Další informace najdete v Azure AD B2C .
Porovnání řešení externích identit
Následující tabulka obsahuje podrobné porovnání scénářů, které můžete povolit pomocí Externí identity Azure AD.
| Spolupráce externích uživatelů (B2B) | Přístup k zákaznickým aplikacím (B2C) | |
|---|---|---|
| Primární scénář | Spolupráce s využitím aplikací Microsoftu (Microsoft 365, Teams atd.) nebo vlastních aplikací (aplikace SaaS, aplikace vyvinuté na vlastní úrovni atd.). | Správa identit a přístupu pro moderní aplikace SaaS nebo vlastní aplikace (ne aplikace Microsoftu od Microsoftu) |
| Určeno pro | Spolupráce s obchodními partnery z externích organizací, jako jsou dodavatelé, partneři, dodavatelé Uživatelé se ve vašem adresáři zobrazují jako uživatelé hosta. Tito uživatelé mohou nebo nemusí spravovat IT. | Zákazníci vašeho produktu. Tito uživatelé se spravují v samostatném adresáři Azure AD. |
| Podporovaní zprostředkovatelé identit | Externí uživatelé mohou spolupracovat pomocí pracovních účtů, školních účtů, libovolné e-mailové adresy, SAML a WS-Fed identit, Gmailu a Facebooku. | Uživatelé, kteří mají místní účty aplikací (libovolnou e-mailovou adresu nebo uživatelské jméno), různé podporované sociální identity a uživatele s identitami vydanými společností a vládou prostřednictvím federace zprostředkovatele identity založeného na SAML nebo WS-Fed. |
| Správa externích uživatelů | Externí uživatelé jsou spravováni ve stejném adresáři jako zaměstnanci, ale obvykle jsou anotováni jako uživatelé hosta. Uživatele hosta je možné spravovat stejným způsobem jako zaměstnanci, přidávat je do stejných skupin atd. | Externí uživatelé se spravují v Azure AD B2C adresáři. Spravují se odděleně od zaměstnanců a partnerských adresářů organizace (pokud jsou k dispozici). |
| Jednotné přihlašování (SSO) | Jednotné přihlašování ke všem aplikacím připojeným k Azure AD se podporuje. Můžete například poskytnout přístup k aplikacím Microsoft 365 nebo místním aplikacím a dalším aplikacím SaaS, jako jsou Salesforce nebo Workday. | V rámci tenantů Azure AD B2C je podporované jednotné přihlašování k aplikacím patřícím zákazníkům. Jednotné přihlašování Microsoft 365 nebo k jiným aplikacím Microsoft SaaS se nepodporuje. |
| Zásady zabezpečení a dodržování předpisů | Spravuje ji hostitel nebo zvoucí organizace (například pomocí zásad podmíněného přístupu). | Spravuje je organizace prostřednictvím podmíněného přístupu a Identity Protection. |
| Značka | Používá se značka organizace hostitelů nebo zvoucí organizace. | Plně přizpůsobitelný branding pro každou aplikaci nebo organizaci. |
| Model fakturace | Ceny externích identit na základě měsíčních aktivních uživatelů (MAU). (Viz také: Podrobnosti o nastavení B2B) |
Ceny externích identit na základě měsíčních aktivních uživatelů (MAU). (Viz také: Podrobnosti o nastavení B2C) |
| Další informace | Blogový příspěvek, dokumentace | Produktová stránka, dokumentace |
Zabezpečení a správa zákazníků a partnerů nad rámec vaší organizace pomocí Externí identity Azure AD.
Informace o vícetenantových aplikacích
Pokud poskytujete aplikaci jako službu a nechcete spravovat uživatelské účty zákazníků, je pro vás vícetenantová aplikace pravděpodobně tou správnou volbou. Při vývoji aplikací určených pro jiné tenanty Azure AD můžete cílit na uživatele z jedné organizace (jednoho tenanta) nebo uživatele z jakékoli organizace, která už má tenanta Azure AD (vícetenantské aplikace). Registrace aplikací v Azure AD jsou ve výchozím nastavení jeden tenant, ale registraci můžete nastavit jako více tenantů. Tato vícetenantová aplikace je zaregistrovaná jednou sami ve vaší vlastní službě Azure AD. Pak ale může aplikaci používat libovolný uživatel Azure AD z jakékoli organizace bez další práce. Další informace najdete v tématu Správa identit ve vícetenantových aplikacích, Příručka s postupy.