Fournisseurs d’identité pour External ID

  • Article

Conseil

Cet article s’applique aux fournisseurs d’identité B2B Collaboration. Si votre locataire est configuré pour la gestion des identités et des accès client, consultez Méthodes d’authentification et fournisseurs d’identité pour les clients.

Un fournisseur d’identité crée, entretient et gère les informations d’identité tout en fournissant des services d’authentification pour les applications. Quand vous partagez vos applications et vos ressources avec des utilisateurs externes, Microsoft Entra ID est le fournisseur d’identité par défaut pour le partage. Si vous invitez un utilisateur externe disposant déjà d’un compte Microsoft Entra ou d’un compte Microsoft, il peut se connecter automatiquement sans configuration supplémentaire de votre part.

La solution External ID offre divers fournisseurs d’identité.

  • Comptes Microsoft Entra : Les utilisateurs invités peuvent utiliser leurs comptes professionnels ou scolaires Microsoft Entra pour accepter vos invitations à une collaboration B2B ou pour suivre le processus d’inscription utilisateur. Microsoft Entra ID est l’un des fournisseurs d’identité autorisés par défaut. Aucune autre configuration n’est nécessaire pour rendre ce fournisseur d’identité disponible pour les flux utilisateur.

  • Comptes Microsoft : les utilisateurs invités peuvent utiliser leur compte Microsoft (MSA) personnel pour accepter vos invitations B2B Collaboration. Lors de la configuration d’un flux d’utilisateur d’inscription en libre-service, vous pouvez ajouter un Compte Microsoft en tant que fournisseur d’identité autorisé. Aucune autre configuration n’est nécessaire pour rendre ce fournisseur d’identité disponible pour les flux utilisateur.

  • Code secret à usage unique par email : Lorsque l’utilisateur invité accepte une invitation ou accède à une ressource partagée, il peut demander un code temporaire envoyé à son adresse e-mail. Ce code est envoyé à son adresse e-mail. Puis, il entre ce code pour se connecter. La fonctionnalité de code secret à usage unique d’e-mail authentifie les utilisateurs invités B2B quand ceux-ci ne peuvent pas s’authentifier par d’autres moyens. Lors de la configuration d’un flux d’utilisateur d’inscription en libre-service, vous pouvez ajouter un code secret à usage unique envoyé par e-mail en tant que fournisseur d’identité autorisé. Une configuration est requise. Consultez Authentification par envoi d’un code secret à usage unique par e-mail.

  • Google : la fédération des services Google permet à des utilisateurs externes de donner suite à des invitations que vous leur avez envoyées en se connectant à vos applications avec leurs propres comptes Gmail. Vous pouvez également utiliser la fédération des services Google dans vos flux d’utilisateurs d’inscription en libre-service. Découvrez comment ajouter Google comme fournisseur d’identité.

    Important

    • À partir du 12 juillet 2021, si les clients B2B de Microsoft Entra configurent de nouvelles intégrations Google pour une utilisation avec l’inscription en libre-service pour leurs applications métier ou personnalisées, l’authentification avec les identités Google ne fonctionnera pas tant que les authentifications ne seront pas déplacées vers les vues web du système. Plus d’informations
    • À partir du 30 septembre 30, 2021, Google déprécie la prise en charge de la connexion aux vues web intégrée. Si vos applications authentifient les utilisateurs avec une vue web incorporée, et si vous utilisez la fédération Google avec Azure AD B2C ou Microsoft Entra B2B pour les invitations d’utilisateurs externes ou l’inscription en libre-service, les utilisateurs de Google Gmail ne pourront pas s’authentifier. Plus d’informations

  • Facebook : lors de la création d’une application, vous pouvez configurer l’inscription en libre-service et activer un fédération Facebook afin que les utilisateurs puissent s’inscrire à votre application en utilisant leurs propres comptes Facebook. Facebook ne peut être utilisé que pour les flux d’utilisateur d’inscription en libre-service et n’est pas disponible en tant qu’option de connexion lorsque des utilisateurs acceptent des invitations de votre part. Découvrez comment ajouter Facebook comme fournisseur d’identité.

  • Fédération de fournisseur d’identité SAML/WS-Fed : vous pouvez également configurer une fédération avec n’importe quel fournisseur d’identité (IdP) prenant en charge les protocoles SAML ou WS-Fed. Grâce à la fédération de fournisseur d’identité SAML/WS-Fed, les utilisateurs externes peuvent accepter des invitations que vous leur avez envoyées en se connectant à vos applications avec leurs comptes professionnels ou de réseaux sociaux existants. Découvrez comment configurer la fédération de fournisseur d’identité SAML/WS-Fed.

    Notes

    Les fournisseurs d’identité SAML/WS-Fed fédérés ne peuvent pas être utilisés dans vos flux utilisateur d’inscription en libre-service.

Pour configurer la fédération avec Google, Facebook ou un fournisseur d’identité SAML/Ws-Fed, vous devez avoir le rôle Administrateur de fournisseur d’identité externe ou Administrateur général dans votre locataire Microsoft Entra.

Ajout de fournisseurs d’identité sociale

Microsoft Entra ID est activé par défaut pour l’inscription en libre-service. Ainsi, les utilisateurs peuvent toujours s’inscrire à l’aide d’un compte Microsoft Entra. Toutefois, vous pouvez activer d’autres fournisseurs d’identité, dont des fournisseurs d’identité sociale tels que Google ou Facebook. Pour configurer des fournisseurs d’identité de réseaux sociaux dans votre locataire Microsoft Entra, vous créez une application au niveau du fournisseur d’identité et configurez les informations d’identification. Vous obtenez un ID de client ou d’application, ainsi qu’un secret de client ou d’application que vous pouvez ensuite ajouter à votre locataire Microsoft Entra.

Après l’ajout d’un fournisseur d’identité à votre locataire Microsoft Entra :

  • Lorsque vous invitez un utilisateur externe à des applications ou ressources se trouvant dans votre organisation, l’utilisateur externe peut se connecter avec son propre compte auprès de ce fournisseur d’identité.

  • Lorsque vous activez l’inscription en libre-service pour vos applications, des utilisateurs externes peuvent s’inscrire pour y accéder à l’aide de leurs propres comptes auprès des fournisseurs d’identité que vous avez ajoutés. Ils peuvent choisir parmi les options de fournisseurs d’identité sociale mises à disposition sur la page d’inscription :

    Capture d’écran montrant l’écran de connexion avec les options Google et Facebook

Pour une expérience de connexion optimale, fédérez des fournisseurs d’identité autant que possible afin de pouvoir offrir à vos invités une expérience de connexion transparente quand ils accèdent à vos applications.

Étapes suivantes

Pour savoir comment ajouter des fournisseurs d’identité pour la connexion à vos applications, reportez-vous aux articles suivants :