Поставщики удостоверений для внешнего идентификатора

Совет

Эта статья относится к поставщикам удостоверений совместной работы B2B. Если клиент настроен для управления удостоверениями клиентов и доступом, ознакомьтесь с методами проверки подлинности и поставщиками удостоверений для клиентов.

Поставщик удостоверений создает, поддерживает и управляет сведениями об удостоверении, одновременно предоставляя приложениям службы проверки подлинности. При совместном использовании приложений и ресурсов внешними пользователями идентификатор Microsoft Entra является поставщиком удостоверений по умолчанию для общего доступа. Если вы пригласите внешнего пользователя, у которого уже есть учетная запись Microsoft Entra или учетная запись Майкрософт, они могут автоматически войти без дополнительной настройки в вашей части.

Внешний идентификатор предлагает различные поставщики удостоверений.

• Учетные записи Microsoft Entra: гостевые пользователи могут использовать свои рабочие или учебные учетные записи Microsoft Entra для активации приглашений на совместную работу B2B или завершения потоков пользователей регистрации. Идентификатор Microsoft Entra по умолчанию является одним из разрешенных поставщиков удостоверений. Для обеспечения доступности этого поставщика удостоверений для потоков пользователей не требуется другая конфигурация.

• Учетные записи Майкрософт. Гостевые пользователи могут использовать собственную личную учетную запись Майкрософт (MSA) для активации приглашений службы совместной работы B2B. При настройке потока пользователя самостоятельной регистрации можно добавить учетную запись Майкрософт в качестве одного из разрешенных поставщиков удостоверений. Для обеспечения доступности этого поставщика удостоверений для потоков пользователей не требуется другая конфигурация.

• Одноразовый секретный код электронной почты: когда гость активирует приглашение или обращается к общему ресурсу, он может запросить временный код. Этот код отправляется по адресу электронной почты. Этот код нужно ввести, чтобы войти в систему. Функция отправки одноразового секретного кода по электронной почте позволяет проверить подлинность гостевых пользователей B2B, если это невозможно сделать с помощью других средств. При настройке потока пользователя для самостоятельной регистрации можно добавить отправку одноразового секретного кода по электронной почте в качестве одного из разрешенных поставщиков удостоверений. Вам нужно будет настроить некоторые параметры. Дополнительные сведения см. в статье Проверка подлинности с помощью отправки одноразового секретного кода по электронной почте.

• Google: федерация Google позволяет внешним пользователям активировать приглашения от вас, выполнив вход в свои приложения с помощью собственных учетных записей Gmail. Федерацию Google можно также использовать в потоках самостоятельной регистрации пользователей. См. статью о том, как добавить Google в качестве поставщика удостоверений.

  Внимание

  • Начиная с 12 июля 2021 года, если клиенты Microsoft Entra B2B настроили новые интеграции Google для самостоятельной регистрации для своих пользовательских или бизнес-приложений, проверка подлинности с удостоверениями Google не будет работать, пока проверки подлинности не будут перемещены в системные веб-представления. Подробнее.
  • 30 сентября 2021 года Google прекращает поддержку входа через встроенные веб-представления. Если ваши приложения проходят проверку подлинности пользователей с внедренным веб-представлением и используете федерацию Google с Azure AD B2C или Microsoft Entra B2B для приглашений внешних пользователей или самостоятельной регистрации, пользователи Google Gmail не смогут пройти проверку подлинности. Подробнее.

• Facebook: При создании приложения вы можете настроить самостоятельную регистрацию и включить федерацию Facebook, чтобы пользователи могли зарегистрироваться в приложении с помощью собственных учетных записей Facebook. Facebook можно использовать только для самостоятельной регистрации пользователей, но не как вариант входа, когда пользователи активируют приглашения, полученные от вас. См. статью о том, как добавить Facebook в качестве поставщика удостоверений.

• Федерация поставщиков удостоверений SAML/WS-Fed: вы можете также настроить федерацию с любым внешним поставщиком удостоверений, который поддерживает протоколы SAML или WS-Fed. Федерация поставщиков удостоверений SAML/WS-Fed позволяет внешним пользователям активировать приглашения от вас и входить в ваши приложения с собственными учетными записями социальных сетей или организаций. См. информацию о настройке федерации поставщиков удостоверений SAML/WS-Fed.

  Примечание.

  Поставщиков удостоверений SAML/WS-Fed из федерации нельзя использовать в потоках для самостоятельной регистрации пользователей.

Чтобы настроить федерацию с Google, Facebook или поставщиком удостоверений SAML/Ws-Fed, необходимо быть внешним поставщиком удостоверений Администратор istrator или глобальным Администратор istrator в клиенте Microsoft Entra.

Добавление поставщиков удостоверений в социальных сетях

Идентификатор Microsoft Entra включен по умолчанию для самостоятельной регистрации, поэтому у пользователей всегда есть возможность регистрации с помощью учетной записи Microsoft Entra. Но вы можете включить другие поставщики удостоверений, в том числе в социальных сетях, например Google или Facebook. Чтобы настроить поставщиков удостоверений социальных удостоверений в клиенте Microsoft Entra, создайте приложение на поставщике удостоверений и настройте учетные данные. Вы получаете идентификатор клиента или приложения и секрет клиента или приложения, который затем можно добавить в клиент Microsoft Entra.

После добавления поставщика удостоверений в клиент Microsoft Entra:

• Когда вы пригласите внешнего пользователя совместно работать с приложениями или ресурсами в вашей организации, такой пользователь сможет войти в систему, используя собственную учетную запись с этим поставщиком удостоверений.

• При включении самостоятельной регистрации для приложений внешние пользователи могут зарегистрироваться для своих приложений с помощью собственных учетных записей с добавленными поставщиками удостоверений. Они могут выбрать варианты поставщиков удостоверений социальных сетей, доступные на странице регистрации:

  

Чтобы обеспечить оптимальный интерфейс для входа, по возможности настройте федерацию с поставщиками удостоверений. Так приглашенные гости смогут без усилий выполнять вход для получения доступа к вашим приложениям.

Следующие шаги

Дополнительные сведения о добавлении поставщиков удостоверений для выполнения входа в приложения см. в следующих статьях:

• Добавление проверки подлинности с отправкой одноразового секретного кода по почте
• Добавление Google в качестве разрешенного поставщика удостоверений в социальной сети
• Добавление Facebook в качестве разрешенного поставщика удостоверений в социальной сети
• Настройка федерации поставщиков удостоверений SAML/WS-Fed для любой организации, поставщик удостоверений которой поддерживает протокол SAML 2.0 или WS-Fed. Федерация поставщика удостоверений SAML/WS-Fed не является вариантом самостоятельной регистрации потоков пользователей.