外部租户的标识提供程序

适用于： 外部租户（了解详细信息）

使用 Microsoft Entra 外部 ID，可以为面向个人客户的应用和面向企业客户的应用创建安全的自定义登录体验。 在外部租户中，用户可通过多种方式注册你的应用。 他们可以使用电子邮件和密码/一次性密码创建帐户。 或者，如果使用 Facebook、Google、Apple 或自定义 OIDC 或 SAML/WS-Fed 标识提供者（IdP）启用登录，则用户可以在外部标识提供者中使用其凭据登录。 用户对象在你的目录中被创建，其中包含在注册过程中收集的身份信息。

本文介绍在注册和登录到外部租户中的应用时可用于主要身份验证的标识提供程序。 你还可以通过实施多重身份验证 (MFA) 策略来增强安全性，该策略要求用户每次登录时进行第二次验证（了解详细信息）。

电子邮件与密码登录

在默认情况下，本地帐户标识提供程序设置中会启用电子邮件注册。 使用电子邮件选项，用户可以使用其电子邮件地址和密码注册和登录。

• 注册：系统会提示用户输入电子邮件地址，该地址在注册时使用一次性密码进行验证。 然后，用户输入注册页上请求的任何其他信息，例如显示名称、给定名称和姓氏。 然后，用户选择“继续”以创建帐户。

• 登录：用户注册并创建帐户后，可以通过输入电子邮件地址和密码登录。

• 密码重置：如果启用电子邮件和密码登录，密码页面上会显示密码重置链接。 如果用户忘记了密码，请选择此链接会将一次性密码发送到其电子邮件地址。 验证后，用户可以选择新密码。

  

创建注册和登录用户流时，“带密码的电子邮件”是默认选项。

电子邮件与一次性密码登录

“电子邮件与一次性密码”是本地帐户标识提供程序设置中的一个选项。 使用此选项，用户每次登录时都使用临时密码而不是存储的密码登录。

• 注册：用户可以使用其电子邮件地址注册并请求临时代码，该代码将发送到其电子邮件地址。 他们输入此代码后，可以继续登录。

• 登录：用户注册并创建帐户后，每次登录时，他们都会输入电子邮件地址并接收临时密码。

  

还可在登录页面配置用于显示、隐藏或自定义自助式密码重置链接的选项（了解详细信息）。

创建注册和登录用户流时，“电子邮件一次性密码”是本地帐户选项之一。

社交标识提供者：Facebook、Google 和 Apple

为获得最佳登录体验，请尽可能与社交标识提供者联合，以便为用户提供无缝的注册和登录体验。 在外部租户中，可以允许用户使用自己的 Facebook、Google 或 Apple 帐户注册和登录。

启用社交标识提供者时，用户可以从注册页面上提供的社交标识提供者选项中进行选择。 要在外部租户中设置社交标识提供程序，可在标识提供程序处创建一个应用程序并配置凭据。 获取客户端或应用 ID、客户端或应用机密或证书，然后可用于配置外部租户。

Google 登录

通过设置与 Google 的联合，你可以允许用户使用自己的 Gmail 帐户登录到应用程序。 将 Google 添加为应用程序的登录选项之一后，在登录页面上，用户可以使用 Google 帐户登录到 Microsoft Entra 外部 ID。

以下屏幕截图显示了使用 Google 登录的体验。 在登录页面中，用户选择“使用 Google 登录”。 此时，用户将重定向到 Google 标识提供程序以完成登录。

了解如何将 Google 添加为标识提供程序。

Facebook 登录

通过设置与 Facebook 的联合，你可以允许用户使用自己的 Facebook 帐户登录到应用程序。 将 Facebook 添加为应用程序的登录选项之一后，在登录页面上，用户可以使用 Facebook 帐户登录到 Microsoft Entra 外部 ID。

以下屏幕截图显示了使用 Facebook 登录的体验。 在登录页面中，用户选择“使用 Facebook 登录”。 然后，用户将重定向到 Facebook 标识提供程序以完成登录。

了解如何将 Facebook 添加为标识提供程序。

Apple 登录

通过设置与 Apple 的联合，你可以允许用户使用自己的 Apple 帐户登录到应用程序。 将 Apple 添加为应用程序的登录选项之一后，在登录页上，用户可以使用 Apple 帐户登录到 Microsoft Entra External ID。

以下屏幕截图显示了使用Apple登录的体验。 在登录页面中，用户选择“使用 Apple 登录”。 然后，用户将被重定向到 Apple 标识提供者以完成登录。 了解如何将 Apple 添加为标识提供程序。

自定义 OIDC 标识提供程序

可以设置自定义 OpenID Connect （OIDC） 标识提供者，以允许用户使用外部标识提供者中的凭据注册和登录到应用程序。 还可以使用 OIDC 协议将登录和注册流与 Azure AD B2C 租户联合起来。

了解如何设置自定义 OIDC 标识提供程序。

自定义 SAML/WS-Fed 标识提供程序

可以设置 SAML 或 WS-Fed 标识提供者，以允许用户使用自己的帐户与标识提供者注册和登录到应用程序。 用户可以通过选择 “注册” 或“ 登录” 选项来注册或登录。 它们会重定向到标识提供者，然后在成功登录后返回到 Microsoft Entra。 对于外部租户，用户的登录电子邮件不需要与 SAML 联合身份验证期间设置的预定义域匹配。 因此，通过添加、更改或删除域来更新联合设置不会影响现有用户的体验。

在登录页上输入电子邮件地址与任何外部标识提供者中的预定义域匹配的用户将被重定向，以使用该标识提供者进行身份验证。 如果没有帐户，系统可能会提示他们提供其他详细信息，并创建该帐户。

有关详细信息，请参阅 SAML/WS-Fed 标识提供者。 有关详细设置步骤，请参阅添加与 SAML/WS-Fed 标识提供程序的联合身份验证。

域加速

在与自定义 SAML/WS-Fed IdP 进行联合身份验证时，用户通常首先会看到 Microsoft 登录页面，然后选择其身份提供者。 这些 IdP 可以与一个或多个域相关联。 domain_hint在登录 URL 中包含参数允许用户直接转到与指定域关联的标识提供者的登录页。

对于自定义 SAML 标识提供者，请使用在 联合 IdP 域名 字段中指定的域名，使用以下语法：domain_hintdomain_hint=<domain name of federating idp>

发行方加速

与其他外部标识提供者（如 Facebook、Google、Apple 或自定义 OpenID Connect IdP）联合时，用户通常会先看到Microsoft登录页，然后选择其标识提供者。 domain_hint在登录 URL 中包含参数允许用户直接转到与指定域关联的标识提供者的登录页。

可以使用以下 domain_hint 值直接转到这些标识提供者的登录页：

• Facebook： domain_hint=facebook.

• 谷歌： domain_hint=Google.

• 苹果： domain_hint=apple.

• 自定义 OIDC： domain_hint=<issuer URI>. 对于自定义 OIDC 标识提供者，请在语法中使用domain_hint 的域部分。

  

更新登录方法

可以随时更新应用的登录选项。 例如，可以添加社交标识提供程序或更改本地帐户登录方法。

更改登录方法时，更改仅会影响新用户。 现有用户会继续使用其原始方法登录。 例如，假设开始时选择的是使用电子邮件地址与密码的登录方法，然后更改为使用电子邮件地址与一次性密码。 新用户会使用一次性密码登录，但已使用电子邮件地址和密码注册的所有用户都会继续被提示输入其电子邮件地址和密码。

Microsoft Graph API

支持使用以下 Microsoft Graph API 操作来管理 Microsoft Entra 外部 ID 中的标识提供程序和身份验证方法：

• 要确定支持哪些标识提供程序和身份验证方法，可以调用 List availableProviderTypes API。
• 要识别租户中已配置并启用的标识提供程序和身份验证方法，可以调用 List IdentityProviders API。
• 要启用受支持的标识提供程序或身份验证方法，可以调用 Create identityProvider API。

相关内容

• 将 Facebook 添加为标识提供程序
• 将 Google 添加为标识提供程序
• 将 Apple 添加为标识提供者
• 添加与 SAML/WS-Fed 标识提供程序的联合身份验证
• 将 OpenID Connect 添加为外部标识提供者