Planejando o gerenciamento de acesso e identidade do cliente
Aplica-se a:Locatários da força detrabalho Locatários externos (saiba mais)
O Microsoft Entra External ID é uma solução personalizável e extensível para adicionar o gerenciamento de acesso e identidade do cliente (CIAM) ao seu aplicativo. Como ele é construído na plataforma Microsoft Entra, você se beneficia da consistência na integração de aplicativos, gerenciamento de locatários e operações em toda a sua força de trabalho e cenários de clientes. Ao projetar sua configuração, é importante entender os componentes de um locatário externo e os recursos do Microsoft Entra disponíveis para os cenários do cliente.
Este artigo fornece uma estrutura geral para integrar seu aplicativo e configurar a ID externa. Ele descreve os recursos disponíveis em um locatário externo e descreve as considerações de planejamento importantes para cada etapa da integração.
Adicionar login seguro ao seu aplicativo e configurar um gerenciamento de identidade e acesso do cliente envolve quatro etapas principais:
Este artigo descreve cada uma dessas etapas e descreve considerações importantes de planejamento. Na tabela a seguir, selecione uma Etapa para obter detalhes e considerações de planejamento ou vá diretamente para os guias de instruções.
Etapa 1: Criar um locatário externo
Um locatário externo é o primeiro recurso que você precisa criar para começar a usar a ID Externa do Microsoft Entra. Seu locatário externo é onde você registra seu aplicativo. Ele também contém um diretório onde você gerencia identidades e acesso de clientes, separado do locatário da força de trabalho.
Ao criar um locatário externo, você pode definir sua localização geográfica correta e seu nome de domínio. Se você usa atualmente o Azure AD B2C, a nova força de trabalho e o modelo de locatário externo não afetam seus locatários existentes do Azure AD B2C.
Contas de usuário em um locatário externo
O diretório em um locatário externo contém contas de usuário de administrador e cliente. Você pode criar e gerenciar contas de administrador para seu locatário externo. As contas de cliente geralmente são criadas por meio de inscrição de autoatendimento, mas você pode criar e gerenciar contas locais de clientes.
As contas de cliente têm um conjunto padrão de permissões. Os clientes são impedidos de acessar informações sobre outros usuários no locatário externo. Por padrão, os clientes não podem acessar informações sobre outros usuários, grupos ou dispositivos.
Como criar um locatário externo
Crie um locatário externo no centro de administração do Microsoft Entra.
Se você ainda não tem um locatário do Microsoft Entra e deseja experimentar a ID externa, recomendamos usar a experiência de introdução para iniciar uma avaliação gratuita.
Se você usar o Visual Studio Code, também poderá usar a extensão de ID Externa do Microsoft Entra para Visual Studio Code para criar um locatário externo diretamente no Visual Studio Code (saiba mais).
Passo 2: Registe a sua candidatura
Antes que seus aplicativos possam interagir com a ID externa, você precisa registrá-los em seu locatário externo. O Microsoft Entra ID executa o gerenciamento de identidade e acesso somente para aplicativos registrados. Registrar seu aplicativo estabelece uma relação de confiança e permite que você integre seu aplicativo com ID Externa.
Em seguida, para concluir a relação de confiança entre a ID do Microsoft Entra e seu aplicativo, atualize o código-fonte do aplicativo com os valores atribuídos durante o registro do aplicativo, como a ID do aplicativo (cliente), o subdomínio do diretório (locatário) e o segredo do cliente.
Fornecemos guias de exemplo de código e guias de integração detalhados para vários tipos de aplicativos e idiomas. Dependendo do tipo de aplicativo que você deseja registrar, você pode encontrar orientação em nossa página Exemplos por tipo de aplicativo e idioma.
Como registar a sua candidatura
Encontre orientações específicas para a aplicação que pretende registar na nossa página Exemplos por tipo de aplicação e idioma.
Se não tivermos um guia específico para sua plataforma ou idioma, consulte as instruções gerais para registrar um aplicativo em um locatário externo.
Etapa 3: integrar um fluxo de entrada com seu aplicativo
Depois de configurar seu locatário externo e registrar seu aplicativo, crie um fluxo de usuário de inscrição e entrada. Em seguida, integre seu aplicativo com o fluxo de usuários para que qualquer pessoa que o acesse passe pela experiência de inscrição e login que você criou.
Para integrar seu aplicativo a um fluxo de usuário, adicione seu aplicativo às propriedades de fluxo de usuário e atualize o código do aplicativo com as informações do locatário e o ponto de extremidade de autorização.
Fluxo de autenticação
Quando um cliente tenta entrar em seu aplicativo, o aplicativo envia uma solicitação de autorização para o ponto de extremidade que você forneceu quando associou o aplicativo ao fluxo de usuário. O fluxo de usuários define e controla a experiência de entrada do cliente.
Se o utilizador iniciar sessão pela primeira vez, ser-lhe-á apresentada a experiência de inscrição. Eles inserem informações com base nos atributos de usuário internos ou personalizados que você escolheu coletar.
Quando a inscrição é concluída, o Microsoft Entra ID gera um token e redireciona o cliente para o seu aplicativo. Uma conta de cliente é criada para o cliente no diretório.
Fluxo de usuários de inscrição e login
Ao planear a sua experiência de inscrição e início de sessão, determine os seus requisitos:
Número de fluxos de usuários. Cada aplicativo pode ter apenas um fluxo de usuário de inscrição e login. Se você tiver vários aplicativos, poderá usar um único fluxo de usuário para todos eles. Ou, se você quiser uma experiência diferente para cada aplicativo, você pode criar vários fluxos de usuário. O máximo é de 10 fluxos de usuários por locatário externo.
Personalização de linguagem e branding da empresa. Embora descrevamos a configuração da marca da empresa e personalizações de idioma mais adiante na Etapa 4, você pode configurá-las a qualquer momento, antes ou depois de integrar um aplicativo a um fluxo de usuário. Se você configurar a marca da empresa antes de criar o fluxo de usuário, as páginas de entrada refletirão essa marca. Caso contrário, as páginas de entrada refletem a marca padrão e neutra.
Atributos a recolher. Nas configurações de fluxo de usuário, você pode selecionar entre um conjunto de atributos de usuário internos que deseja coletar dos clientes. O cliente introduz as informações na página de inscrição, que são armazenadas com o respetivo perfil no seu diretório. Se quiser coletar mais informações, você pode definir atributos personalizados e adicioná-los ao seu fluxo de usuários.
Termos e condições de consentimento. Você pode usar atributos de usuário personalizados para solicitar que os usuários aceitem seus termos e condições. Por exemplo, você pode adicionar caixas de seleção ao seu formulário de inscrição e incluir links para seus termos de uso e políticas de privacidade.
Requisitos para declarações de token. Se seu aplicativo requer atributos de usuário específicos, você pode incluí-los no token enviado para seu aplicativo.
Provedores de identidade. Você pode configurar provedores de identidade social, como Google, Facebook, Apple ou um provedor de identidade OpenID Connect (OIDC) personalizadamente configurado. Em seguida, você pode adicioná-los ao seu fluxo de usuário como opções de entrada
Como integrar um fluxo de usuário com seu aplicativo
Se você quiser coletar informações de clientes além dos atributos de usuário internos, defina atributos personalizados para que eles estejam disponíveis à medida que você configura seu fluxo de usuário.
Crie um fluxo de usuário de inscrição e entrada para os clientes.
Adicione seu aplicativo ao fluxo de usuários.
Passo 4: Personalizar e proteger o início de sessão
Ao planejar a configuração da identidade visual da empresa, personalizações de idioma e extensões personalizadas, considere os seguintes pontos:
Marca da empresa. Depois de criar um novo locatário externo, você pode personalizar a aparência de seus aplicativos baseados na Web para clientes que entrarem ou se inscreverem, para personalizar a experiência do usuário final. No Microsoft Entra ID, a marca padrão da Microsoft aparece em suas páginas de entrada antes de personalizar quaisquer configurações. Esta imagem corporativa representa o aspeto e a funcionalidade globais aplicável a todos os inícios de sessão no inquilino. Saiba mais sobre como personalizar a aparência de login.
Estendendo as declarações de token de autenticação. O ID externo foi concebido para flexibilidade. Você pode usar uma extensão de autenticação personalizada para adicionar declarações de sistemas externos ao token do aplicativo imediatamente antes de o token ser emitido para o aplicativo. Saiba como adicionar a sua própria lógica de negócio com extensões de autenticação personalizadas.
Autenticação multifator (MFA). Você também pode habilitar a segurança de acesso ao aplicativo aplicando MFA, que adiciona uma segunda camada crítica de segurança aos logins do usuário, exigindo verificação por senha única de e-mail. Saiba mais sobre os métodos de autenticação MFA disponíveis.
Autenticação nativa. A autenticação nativa permite hospedar a interface do usuário no aplicativo cliente em vez de delegar a autenticação aos navegadores. Saiba mais sobre a autenticação nativa em ID externa.
Segurança e governação. Saiba mais sobre os recursos de segurança e governança disponíveis em seu locatário externo, como a Proteção de ID do Microsoft Entra.
Como personalizar e proteger o seu início de sessão
- Personalizar a imagem corporativa
- Adicionar provedores de identidade
- Coletar atributos durante a inscrição
- Adicionar atributos ao token
- Adicionar autenticação multifator
- Usar um domínio de URL personalizado
Próximos passos
- Inicie uma avaliação gratuita ou crie seu locatário externo.
- Encontre exemplos e orientações para integrar seu aplicativo.
- Consulte também o Microsoft Entra External ID Developer Center para obter o conteúdo e os recursos mais recentes do desenvolvedor.