Métodos de autenticação e provedores de identidade para clientes

  • Artigo

O Microsoft Entra External ID oferece várias opções para autenticar usuários de seus aplicativos. Você pode permitir que os clientes criem uma conta em seu diretório de clientes usando seu e-mail e uma senha ou uma senha única de e-mail. Também pode ativar o início de sessão com uma conta social.

Login por e-mail e senha

A inscrição por e-mail está habilitada por padrão nas configurações do provedor de identidade da sua conta local. Com a opção de e-mail, os clientes podem se inscrever e entrar com seu endereço de e-mail e uma senha.

  • Inscrição: os clientes são solicitados a fornecer um endereço de e-mail, que é verificado no momento da inscrição com uma senha única. Em seguida, o cliente insere quaisquer outras informações solicitadas na página de inscrição, por exemplo, nome para exibição, nome próprio e sobrenome. Em seguida, eles selecionam Continuar para criar uma conta.

  • Iniciar sessão: depois de o cliente se registar e criar uma conta, pode iniciar sessão introduzindo o seu endereço de e-mail e palavra-passe.

  • Redefinição de senha: se você habilitar o login por e-mail e senha, um link de redefinição de senha será exibido na página de senha. Se o cliente esquecer sua senha, selecionar este link enviará uma senha única para seu endereço de e-mail. Após a verificação, o cliente pode escolher uma nova senha.

    Capturas de ecrã do e-mail com ecrãs de início de sessão com palavra-passe.

Quando você cria um fluxo de usuário de inscrição e login, E-mail com senha é a opção padrão.

E-mail com login com senha única

E-mail com senha única é uma opção nas configurações do provedor de identidade da sua conta local. Com esta opção, o cliente inicia sessão com um código de acesso temporário em vez de uma palavra-passe armazenada sempre que inicia sessão.

  • Inscrição: Os clientes podem se inscrever com seu endereço de e-mail e solicitar um código temporário, que é enviado para seu endereço de e-mail. Depois, introduz esse código para continuar a iniciar sessão.

  • Iniciar sessão: depois de o cliente se inscrever e criar uma conta, cada vez que iniciar sessão, irá introduzir o seu endereço de e-mail e receber um código de acesso temporário.

    Capturas de ecrã do e-mail com ecrãs de início de sessão com código de acesso único.

Nota

Se você quiser habilitar a autenticação multifator (MFA), defina seu método de autenticação de conta local como Email com senha. Se você definir sua opção de conta local como Email com senha única, os clientes que usam esse método não poderão entrar porque a senha de uso único já é seu método de entrada de primeiro fator e não pode ser usada como um segundo fator. Atualmente, outros métodos de verificação não estão disponíveis para cenários de clientes.

Quando você cria um fluxo de usuário de inscrição e login, a senha única de e-mail é uma das opções de conta local.

Provedores de identidade social: Facebook e Google

Para uma experiência de início de sessão ideal, associe-se a fornecedores de identidade social sempre que possível para que possa proporcionar aos seus clientes uma experiência de registo e início de sessão perfeita. Em um locatário externo, você pode permitir que um cliente se inscreva e faça login usando sua própria conta do Facebook ou do Google. Quando um cliente se inscreve em seu aplicativo usando sua conta social, o provedor de identidade social cria, mantém e gerencia informações de identidade enquanto fornece serviços de autenticação para aplicativos.

Quando você habilita provedores de identidade social, os clientes podem selecionar entre as opções de provedores de identidade social que você disponibilizou na página de inscrição. Para configurar provedores de identidade social em seu locatário externo, crie um aplicativo no provedor de identidade e configure as credenciais. Você obtém uma ID de cliente ou aplicativo e um segredo de cliente ou aplicativo, que pode ser adicionado ao locatário externo.

Login no Google

Ao configurar a federação com o Google, pode permitir que os clientes iniciem sessão nas suas aplicações com as suas próprias contas do Gmail. Depois de adicionar o Google como uma das opções de início de sessão da sua aplicação, na página de início de sessão, os utilizadores podem iniciar sessão no ID Externo do Microsoft Entra com uma Conta Google.

As capturas de tela a seguir mostram o login com a experiência do Google. Na página de início de sessão, os utilizadores selecionam Iniciar sessão com o Google. Nesse ponto, o usuário é redirecionado para o provedor de identidade do Google para concluir o login.

Capturas de ecrã dos ecrãs de início de sessão do Google.

Saiba como adicionar o Google como um provedor de identidade.

Início de sessão no Facebook

Ao configurar a federação com o Facebook, pode permitir que os utilizadores convidados iniciem sessão nas suas aplicações com as suas próprias contas do Facebook. Depois de adicionar o Facebook como uma das opções de início de sessão da sua aplicação, na página de início de sessão, os utilizadores podem iniciar sessão no Microsoft Entra External ID com uma conta do Facebook.

As capturas de ecrã seguintes mostram o início de sessão com a experiência do Facebook. Na página de início de sessão, os utilizadores selecionam Iniciar sessão com o Facebook. Em seguida, o usuário é redirecionado para o provedor de identidade do Facebook para concluir o login.

Capturas de ecrã dos ecrãs de início de sessão do Facebook.

Saiba como adicionar o Facebook como um provedor de identidade.

Atualizando métodos de entrada

A qualquer momento, pode atualizar as opções de início de sessão que selecionou para uma aplicação. Por exemplo, você pode adicionar provedores de identidade social ou alterar o método de entrada da conta local.

Lembre-se de que, quando você altera os métodos de entrada, a alteração afeta apenas novos usuários. Os usuários existentes continuarão a entrar usando seu método original. Por exemplo, suponha que você comece com o método de entrada de e-mail e senha e, em seguida, mude para e-mail com senha única. Novos usuários entrarão usando uma senha única, mas todos os usuários que já se inscreveram com um e-mail e senha continuarão a ser solicitados a fornecer seu e-mail e senha.

Microsoft Graph APIs

As seguintes operações da API do Microsoft Graph são suportadas para gerenciar provedores de identidade e métodos de autenticação no Microsoft Entra External ID:

  • Para identificar quais provedores de identidade e métodos de autenticação são suportados, chame a API List availableProviderTypes .
  • Para identificar os provedores de identidade e os métodos de autenticação que já estão configurados e habilitados no locatário, chame a API List identityProviders .
  • Para habilitar um provedor de identidade ou método de autenticação suportado, chame a API Create identityProvider .

Próximos passos

Para saber como adicionar provedores de identidade para entrar em seus aplicativos, consulte os seguintes artigos: