Planen von Kundenidentitäts- und Zugriffsverwaltung

Microsoft Entra External ID ist eine anpassbare, erweiterbare Lösung zum Hinzufügen von Kundenidentitäts- und Zugriffsverwaltung (Customer Identity and Access Management, CIAM) zu Ihrer App. Da sie auf der Microsoft Entra-Plattform erstellt wurde, profitieren Sie von der Konsistenz bei der Integration von Apps, der Verwaltung von Mandanten und den Abläufen in Ihren Mitarbeiter- und Kundenszenarien. Beim Entwerfen Ihrer Konfiguration ist es wichtig, die Komponenten eines externen Mandanten und die Microsoft Entra-Funktionen zu verstehen, die für Ihre Kundenszenarien verfügbar sind.

Dieser Artikel bietet einen allgemeinen Rahmen für die Integration Ihrer App und die Konfiguration von Microsoft Entra External ID. Er beschreibt die in einem externen Mandanten verfügbaren Funktionen und erläutert die wichtigen Planungsüberlegungen für jeden Schritt in Ihrer Integration.

Das Hinzufügen einer sicheren Anmeldung zu Ihrer App und das Einrichten einer Identitäts- und Zugriffsverwaltung für Kunden umfasst vier hauptsächliche Schritte:

In diesem Artikel werden die einzelnen Schritte beschrieben und wichtige Planungsüberlegungen erläutert. Wählen Sie in der folgenden Tabelle einen Schritt für Details und Planungsüberlegungen, oder wechseln Sie direkt zu den Schrittanleitungen.

Schritt	Anleitungen
Schritt 1: Erstellen eines externen Mandanten	• Erstellen Sie einen externen Mandanten • Oder starten Sie eine kostenlose Testversion
Schritt 2: Registrieren Ihrer Anwendung	• Anwendung registrieren
Schritt 3: Integrieren eines Anmeldeflows in Ihre App	• Benutzerflow erstellen • App zum Benutzerflow hinzufügen
Schritt 4: Anpassen und Sichern Ihrer Anmeldedaten	• Branding anpassen • Identitätsanbieter hinzufügen • Attribute während der Registrierung sammeln • Attribute zum Token hinzufügen • Multi-Faktor-Authentifizierung (MFA) hinzufügen

Schritt 1: Erstellen eines externen Mandanten

Ein externer Mandant ist die erste Ressource, die Sie erstellen müssen, um mit Microsoft Entra External ID zu beginnen. In Ihrem externer Mandanten registrieren Sie Ihre Anwendung. Er enthält auch ein Verzeichnis, in dem Sie die Identitäten und den Zugriff Ihrer Kunden verwalten, getrennt von Ihrem Mandanten für Mitarbeiter.

Wenn Sie einen externen Mandanten erstellen, können Sie Ihren richtigen geografischen Standort und Ihren Domänennamen festlegen. Wenn Sie derzeit Azure AD B2C verwenden, wirkt sich das neue Modell für Mitarbeitende und externe Mandanten nicht auf Ihre vorhandenen Azure AD B2C-Mandanten aus.

Benutzerkonten in einem externen Mandanten

Das Verzeichnis in einem externen Mandanten enthält Administrator- und Kundenbenutzerkonten. Sie können für Ihren externen Mandanten Administratorkonten erstellen und verwalten. Kundenkonten werden in der Regel über den Dienst erstellt, aber Sie können auch lokale Kundenkonten erstellen und verwalten.

Kundenkonten verfügen über einen Standardsatz von Berechtigungen. Kund*innen können nicht auf Informationen über andere Benutzer*innen im externen Mandanten zugreifen. Standardmäßig können Kunden nicht auf Informationen zu anderen Benutzern, Gruppen oder Geräten zugreifen.

Erstellen eines externen Mandanten

• Erstellen Sie einen externen Mandanten im Microsoft Entra Admin Center.

• Wenn Sie noch nicht über einen Microsoft Entra-Mandanten verfügen und Microsoft Entra External ID ausprobieren möchten, empfehlen wir Ihnen, die Benutzeroberfläche für die ersten Schritte zu verwenden, um eine kostenlose Testversion zu starten.

Schritt 2: Registrieren Ihrer Anwendung

Bevor Ihre Anwendungen mit Microsoft Entra External ID interagieren können, müssen Sie sie in Ihrem externen Mandanten registrieren. Microsoft Entra ID führt die Identitäts- und Zugriffsverwaltung nur für registrierte Anwendungen durch. Durch die Registrierung Ihrer App wird eine Vertrauensstellung hergestellt, und Sie können Ihre App in Microsoft Entra External ID integrieren.

Um die Vertrauensstellung zwischen Microsoft Entra ID und Ihrer App zu vervollständigen, aktualisieren Sie den Quellcode Ihrer Anwendung mit den Werten, die bei der App-Registrierung zugewiesen wurden, z. B. die Anwendungs-ID (Client), die Verzeichnisunterdomäne (Mandant) und der geheime Clientschlüssel.

Wir bieten Codebeispielleitfäden und ausführliche Integrationsleitfäden für verschiedene App-Typen und -Sprachen. Abhängig von der Art der App, die Sie registrieren möchten, finden Sie auf unserer Seite Beispiele nach App-Typ und Sprache eine Anleitung.

Registrieren Ihrer Anwendung

• Eine Anleitung speziell für die Anwendung, die Sie registrieren möchten, finden Sie auf unserer Seite Beispiele nach App-Typ und Sprache.

• Wenn wir keinen Leitfaden speziell für Ihre Plattform oder Sprache besitzen, lesen Sie die allgemeinen Anweisungen zur Registrierung einer Anwendung in einem externen Mandanten.

Schritt 3: Integrieren eines Anmeldeflows in Ihre App

Nachdem Sie Ihren externen Mandanten eingerichtet und Ihre Anwendung registriert haben, erstellen Sie einen Benutzerflow für die Registrierung und Anmeldung. Integrieren Sie dann Ihre Anwendung in den Benutzerflow, sodass jeder, der darauf zugreift, den von Ihnen entworfenen Registrierungs- und Anmeldevorgang durchläuft.

Um Ihre Anwendung in einen Benutzerflow zu integrieren, fügen Sie Ihre Anwendung den Benutzerfloweigenschaften hinzu und aktualisieren Ihren Anwendungscode mit Ihren Mandanteninformationen und dem Autorisierungsendpunkt.

Authentifizierungsfluss

Wenn ein Kunde versucht, sich bei Ihrer Anwendung anzumelden, sendet die Anwendung eine Autorisierungsanforderung an den Endpunkt, den Sie beim Zuordnen der App zum Benutzerflow angegeben haben. Der Benutzerflow definiert und steuert den Anmeldevorgang des Kunden.

Wenn sich der Benutzer zum ersten Mal anmeldet, wird die Registrierungsoberfläche angezeigt. Sie geben Informationen basierend auf den integrierten oder benutzerdefinierten Benutzerattributen ein, die Sie gesammelt haben.

Wenn die Registrierung abgeschlossen ist, generiert Microsoft Entra ID ein Token und leitet den Kunden zu Ihrer Anwendung weiter. Im Verzeichnis wird ein Kundenkonto für den Kunden erstellt.

Benutzerflow für Registrierung und Anmeldung

Bestimmen Sie bei der Planung Ihrer Registrierungs- und Anmeldungsoberfläche Ihre Anforderungen:

• Anzahl der Benutzerflows. Jede Anwendung kann nur über einen Benutzerflow für die Anmeldung und die Registrierung verfügen. Wenn Sie über mehrere Anwendungen verfügen, können Sie einen einzelnen Benutzerflow für alle verwenden. Wenn Sie eine andere Benutzeroberfläche für die einzelnen Anwendungen wünschen, können Sie auch mehrere Benutzerflows erstellen. Maximal 10 Benutzerflows pro externem Mandanten.

• Unternehmensbranding und Sprachanpassungen. Obwohl wir die Konfiguration des Unternehmensbrandings und der Sprachanpassungen später in Schritt 4 beschreiben, können Sie sie jederzeit konfigurieren, entweder bevor oder nachdem Sie eine App in einen Benutzerflow integrieren. Wenn Sie das Unternehmensbranding vor dem Erstellen des Benutzerflows konfigurieren, spiegeln die Anmeldeseiten dieses Branding wider. Andernfalls wird auf den Anmeldeseiten das neutrale Standardbranding verwendet.

• Auszuwählende Attribute. In den Einstellungen für den Benutzerflow können Sie aus einer Reihe von integrierten Benutzerattributen auswählen, die Sie von Kunden erfassen möchten. Der Kunde gibt die Informationen auf der Registrierungsseite ein, und sie werden zusammen mit seinem Profil in Ihrem Verzeichnis gespeichert. Wenn Sie mehr Informationen sammeln möchten, können Sie benutzerdefinierte Attribute definieren und diese zu Ihrem Benutzerflow hinzufügen.

• Zustimmung zu den Geschäftsbedingungen. Sie können benutzerdefinierte Benutzerattribute verwenden, um Benutzer aufzufordern, Ihre Geschäftsbedingungen zu akzeptieren. Beispielsweise können Sie Ihrem Registrierungsformular Kontrollkästchen hinzufügen und Links zu Ihren Nutzungsbedingungen und Datenschutzrichtlinien einfügen.

• Anforderungen für Tokenansprüche. Wenn Ihre Anwendung bestimmte Benutzerattribute benötigt, können Sie diese in das Token einbeziehen, das an Ihre Anwendung gesendet wird.

• Soziales Netzwerk als Identitätsanbieter: Sie können Google und Facebook als Anbieter einer Social Media-Identität festlegen und diese dann als Anmeldeoptionen zu Ihrem Benutzerflow hinzufügen.

Integrieren eines Benutzerflows in Ihre App

• Wenn Sie über die integrierten Benutzerattribute hinaus Informationen von Kunden sammeln möchten, definieren Sie benutzerdefinierte Attribute, sodass diese bei der Konfiguration Ihres Benutzerflows verfügbar sind.

• Erstellen Sie einen Benutzerflow für die Registrierung und Anmeldung von Kunden.

• Fügen Sie Ihre Anwendung zum Benutzerflow hinzu.

Schritt 4: Anpassen und Sichern Ihrer Anmeldedaten

Bei der Planung der Konfiguration des Unternehmensbrandings, der Sprachanpassungen und der benutzerdefinierten Erweiterungen sollten Sie die folgenden Punkte berücksichtigen:

• Unternehmensbranding. Nachdem Sie einen neuen externen Mandanten erstellt haben, können Sie das Erscheinungsbild Ihrer webbasierten Anwendungen für Kund*innen anpassen, die sich anmelden oder sich registrieren, um ihr Endbenutzererlebnis zu personalisieren. Bevor Sie Einstellungen anpassen, wird in Microsoft Entra ID auf Ihren Anmeldeseiten das Microsoft-Standardbranding angezeigt. Dieses Branding ist das globale Erscheinungsbild, das für alle Anmeldungen bei Ihrem Mandanten gilt. Erfahren Sie mehr über die Anpassung des Erscheinungsbilds der Anmeldung.

• Erweiterung der Authentifizierungstokenansprüche. Microsoft Entra External ID ist auf Flexibilität ausgelegt. Sie können eine benutzerdefinierte Authentifizierungserweiterung verwenden, um Ansprüche aus externen Systemen zum Anwendungstoken hinzuzufügen, kurz bevor das Token für die Anwendung ausgestellt wird. Erfahren Sie mehr über das Hinzufügen Ihrer eigenen Geschäftslogik mit benutzerdefinierten Authentifizierungserweiterungen.

• Multi-Faktor-Authentifizierung (MFA). Sie können die Sicherheit für den Anwendungszugriff auch durch die Erzwingung von MFA aktivieren, was eine wichtige zweite Ebene der Sicherheit für die Anmeldung von Benutzern darstellt, indem eine Überprüfung über einen Einmal-Passcode per E-Mail verlangt wird. Erfahren Sie mehr über MFA für Kunden.

• Native Authentifizierung. Mit der nativen Authentifizierung können Sie die Benutzeroberfläche in der Clientanwendung hosten, anstatt die Authentifizierung an Browser zu delegieren. Erfahren Sie mehr über die native Authentifizierung in Microsoft Entra External ID.

• Sicherheit und Governance. Erfahren Sie mehr über Funktionen für Sicherheit und Governance, die in Ihrem externen Mandanten verfügbar sind, z. B. Identitätsschutz.

Anpassen und Sichern Ihrer Anmeldedaten

• Anpassen des Brandings
• Hinzufügen von Identitätsanbietern
• Sammeln von Attributen bei der Registrierung
• Hinzufügen von Attributen zum Token
• Hinzufügen der Multi-Faktor-Authentifizierung

Nächste Schritte

• Starten Sie eine kostenlose Testversion, oder erstellen Sie Ihren externen Mandanten.
• Finden Sie Beispiele und Anleitungen für die Integration Ihrer App.
• Weitere Informationen zu den neuesten Entwicklerinhalten und-ressourcen finden Sie im Developer Center für Microsoft Entra External ID.