Partilhar via

Provedores de identidade para locatários externos

Aplica-se a: círculo verde com um símbolo de marca de seleção branco que indica que o conteúdo a seguir se aplica a locatários externos. Inquilinos externos (saiba mais)

Tip

Este artigo aplica-se à identificação externa em arrendatários externos. Para obter informações sobre locatários da força de trabalho, consulte Provedores de identidade para Identificação Externa em locatários da força de trabalho.

Com o Microsoft Entra External ID, pode criar experiências de início de sessão seguras e personalizadas para as suas aplicações orientadas para o consumidor e para a empresa. Em um locatário externo, há várias maneiras de os usuários se inscreverem em seu aplicativo. Eles podem criar uma conta usando seu e-mail e uma senha ou uma senha única. Ou, se você habilitar o login com o Facebook, Google, Apple ou um provedor de identidade (IdP) personalizado OIDC ou SAML/WS-Fed, os usuários poderão entrar usando suas credenciais no provedor de identidade externo. Um objeto de usuário é criado para eles em seu diretório com as informações de identidade coletadas durante a inscrição.

Este artigo descreve os provedores de identidade que estão disponíveis para autenticação principal ao se inscrever e entrar em aplicativos em locatários externos. Você também pode melhorar a segurança aplicando uma política de autenticação multifator (MFA) que requer uma segunda forma de verificação cada vez que um usuário entra (saiba mais).

Login por e-mail e senha

A inscrição por e-mail está habilitada por padrão nas configurações do provedor de identidade da sua conta local. Com a opção de e-mail, os usuários podem se inscrever e entrar com seu endereço de e-mail e uma senha.

  • Inscrição: os utilizadores são solicitados a fornecer um endereço de e-mail, que é verificado na inscrição com um código de acesso único. Em seguida, o usuário insere quaisquer outras informações solicitadas na página de inscrição, por exemplo, nome para exibição, nome próprio e sobrenome. Em seguida, eles selecionam Continuar para criar uma conta.

  • Início de sessão: Após o utilizador se inscrever e criar uma conta, pode iniciar sessão introduzindo o seu endereço de e-mail e palavra-passe.

  • Redefinição de senha: se você habilitar o login por e-mail e senha, um link de redefinição de senha será exibido na página de senha. Se o usuário esquecer sua senha, selecionar este link enviará uma senha única para seu endereço de e-mail. Após a verificação, o usuário pode escolher uma nova senha.

    Capturas de ecrã do e-mail com ecrãs de início de sessão com palavra-passe.

Quando você cria um fluxo de usuário de inscrição e login, E-mail com senha é a opção padrão.

E-mail com login com senha única

E-mail com senha única é uma opção nas configurações do provedor de identidade da sua conta local. Com esta opção, o utilizador inicia sessão com um código de acesso temporário em vez de uma palavra-passe armazenada sempre que inicia sessão.

  • de inscrição: Os utilizadores podem registar-se com o seu endereço de e-mail e solicitar um código temporário, que é enviado para o seu endereço de e-mail. Depois, introduz esse código para continuar a iniciar sessão.

  • início de sessão: depois de o utilizador ter inscrito e criado uma conta, cada vez que iniciar sessão, introduzirá o seu endereço de e-mail e receberá um código de acesso temporário.

    Capturas de ecrã do e-mail com ecrãs de login com código de acesso único.

Também pode configurar opções para mostrar, ocultar ou personalizar a ligação de reposição de palavra-passe de autoatendimento na página de início de sessão (aprenda mais).

Quando você cria um fluxo de usuário de inscrição e login, a senha única de e-mail é uma das opções de conta local.

Provedores de identidade social: Facebook, Google e Apple

Para uma experiência de início de sessão ideal, utilize fornecedores de identidade social sempre que possível para que possa proporcionar aos seus utilizadores uma experiência de registo e início de sessão perfeita. Em um locatário externo, você pode permitir que um usuário se inscreva e faça login usando sua própria conta do Facebook, Google ou Apple.

Quando você habilita provedores de identidade social, os usuários podem selecionar entre as opções de provedores de identidade social que você disponibiliza na página de inscrição. Para configurar provedores de identidade social em seu locatário externo, crie um aplicativo no provedor de identidade e configure as credenciais. Você obtém uma ID de cliente ou aplicativo, um segredo de cliente ou aplicativo ou um certificado, que pode ser usado para configurar seu locatário externo.

Login no Google

Ao configurar a federação com o Google, pode permitir que os utilizadores iniciem sessão nas suas aplicações com as suas próprias contas do Gmail. Depois de adicionar o Google como uma das opções de início de sessão da sua aplicação, na página de início de sessão, os utilizadores podem iniciar sessão no Microsoft Entra External ID com uma Conta Google.

As capturas de tela a seguir mostram o login com a experiência do Google. Na página de início de sessão, os utilizadores selecionam Iniciar sessão com o Google. Nesse ponto, o usuário é redirecionado para o provedor de identidade do Google para concluir o login.

Capturas de ecrã dos ecrãs de início de sessão do Google.

Saiba como adicionar o Google como um provedor de identidade.

Início de sessão no Facebook

Ao configurar a federação com o Facebook, pode permitir que os utilizadores iniciem sessão nas suas aplicações com as suas próprias contas do Facebook. Depois de adicionar o Facebook como uma das opções de início de sessão da sua aplicação, na página de início de sessão, os utilizadores podem iniciar sessão no Microsoft Entra External ID com uma conta do Facebook.

As capturas de ecrã seguintes mostram o início de sessão com o Facebook. Na página de início de sessão, os utilizadores selecionam Iniciar sessão com o Facebook. Em seguida, o usuário é redirecionado para o provedor de identidade do Facebook para concluir o login.

Capturas de ecrã dos ecrãs de início de sessão do Facebook.

Saiba como adicionar o Facebook como um provedor de identidade.

Iniciar sessão Apple

Ao configurar a federação com a Apple, pode permitir que os utilizadores iniciem sessão nas suas aplicações com as suas próprias contas Apple. Depois de adicionar a Apple como uma das opções de início de sessão da sua aplicação, na página de início de sessão, os utilizadores podem iniciar sessão no Microsoft Entra External ID com uma conta Apple.

As capturas de ecrã seguintes mostram a experiência de iniciar sessão com a Apple. Na página de início de sessão, os utilizadores selecionam Iniciar sessão com o Apple. Em seguida, o usuário é redirecionado para o provedor de identidade da Apple para concluir o login. Saiba como adicionar a Apple como fornecedor de identidade.

Provedor de identidade OIDC personalizado

Você pode configurar um provedor de identidade OpenID Connect (OIDC) personalizado para permitir que os usuários se inscrevam e entrem em seus aplicativos usando suas credenciais no provedor de identidade externo. Você também pode federar os seus fluxos de entrada e registo com uma instância do Azure AD B2C, utilizando o protocolo OIDC.

Saiba como configurar um provedor de identidade OIDC personalizado.

Provedores de identidade SAML/WS-Fed personalizados

Você pode configurar um provedor de identidade SAML ou WS-Fed para permitir que os usuários se inscrevam e entrem em seus aplicativos usando sua própria conta com o provedor de identidade. O utilizador pode inscrever-se ou iniciar sessão selecionando a opção Inscrever-se com ou Iniciar sessão com. Eles são redirecionados para o provedor de identidade e, em seguida, retornam ao Microsoft Entra assim que entrarem com êxito. Para locatários externos, o email de entrada de um usuário não precisa corresponder aos domínios predefinidos configurados durante a federação SAML. Como resultado, atualizar a configuração da federação adicionando, alterando ou removendo domínios não afetará a experiência dos usuários existentes.

Um usuário que inserir um endereço de e-mail na página de entrada que corresponda a um domínio predefinido em qualquer um dos provedores de identidade externos será redirecionado para autenticar com esse provedor de identidade. Se não tiverem uma conta, poderão ser-lhes solicitados detalhes adicionais e a conta será criada.

Para obter mais informações, consulte SAML/WS-Fed provedores de identidade. Para obter etapas detalhadas de configuração, consulte Adicionar federação com provedores de identidade SAML/WS-Fed.

Aceleração de rede

Quando você federa com SAML/WS-Fed IdPs personalizados, os usuários geralmente veem a página de entrada da Microsoft primeiro e, em seguida, escolhem seu provedor de identidade. Esses IdPs podem ser associados a um ou mais domínios. A inclusão do domain_hint parâmetro na URL de entrada permite que os usuários acessem diretamente a página de entrada do provedor de identidade associado ao domínio especificado.

Para um provedor de identidade SAML personalizado, use o domínio especificado no campo Nome de domínio do IdP da federação na domain_hint sintaxe: domain_hint=<___domain name of federating idp>

Captura de tela mostrando o nome de domínio do IdP federador.

Aceleração do emissor

Quando você se federa com outros provedores de identidade externos, como Facebook, Google, Apple ou um IdP OpenID Connect personalizado, os usuários geralmente veem a página de entrada da Microsoft primeiro e, em seguida, escolhem seu provedor de identidade. A inclusão do domain_hint parâmetro na URL de entrada permite que os usuários acessem diretamente a página de entrada do provedor de identidade associado ao domínio especificado.

Você pode usar os seguintes domain_hint valores para ir diretamente para a página de entrada desses provedores de identidade:

  • Facebook: domain_hint=facebook.

  • Google: domain_hint=google.

  • Apple: domain_hint=apple.

  • OIDC personalizado: domain_hint=<issuer URI>. Para um provedor de identidade OIDC personalizado, use a parte do domínio do URI do Emissor na sintaxe domain_hint.

    Captura de ecrã mostrando a parte do domínio do URI do emissor.

Atualizando métodos de entrada

A qualquer momento, pode atualizar as opções de início de sessão de uma aplicação. Por exemplo, você pode adicionar provedores de identidade social ou alterar o método de entrada da conta local.

Quando você altera os métodos de entrada, a alteração afeta apenas novos usuários. Os usuários existentes continuam a entrar usando seu método original. Por exemplo, suponha que você comece com o método de entrada de e-mail e senha e, em seguida, mude para e-mail com senha única. Novos usuários entram usando uma senha única, mas todos os usuários que já se inscreveram com um e-mail e senha continuam a ser solicitados a fornecer seu e-mail e senha.

Microsoft Graph APIs

As seguintes operações da API do Microsoft Graph são suportadas para gerenciar provedores de identidade e métodos de autenticação no Microsoft Entra External ID:

  • Para identificar quais provedores de identidade e métodos de autenticação são suportados, chame a API List availableProviderTypes .
  • Para identificar os provedores de identidade e os métodos de autenticação que já estão configurados e habilitados no locatário, chame a API List identityProviders .
  • Para habilitar um provedor de identidade ou método de autenticação suportado, chame a API Create identityProvider .

Conteúdo relacionado