外部租户的标识提供者

适用于： 员工租户 外部租户（了解详细信息）

使用 Microsoft Entra 外部 ID，可以为面向个人客户的应用和面向企业客户的应用创建安全的自定义登录体验。 在外部租户中，用户可通过多种方式注册你的应用。 他们可以使用电子邮件和密码/一次性密码创建帐户。 或者，如果使用 Facebook、Google、Apple 或自定义 OIDC 或 SAML/WS-Fed 标识提供者（IdP）启用登录，则用户可以在外部标识提供者中使用其凭据登录。 用户对象在你的目录中被创建，其中包含在注册过程中收集的身份信息。

本文介绍在注册和登录到外部租户中的应用时可用于主要身份验证的标识提供者。 你还可以通过强制实施多重身份验证 (MFA) 策略来增强安全性，该策略要求用户每次登录时都进行第二种形式的验证(了解详细信息)。

电子邮件与密码登录

在默认情况下，本地帐户标识提供者设置中会启用电子邮件注册。 使用电子邮件选项，用户可以使用其电子邮件地址和密码注册和登录。

• 注册：系统会提示用户输入电子邮件地址，该地址在注册时使用一次性密码进行验证。 然后，用户输入注册页上请求的任何其他信息，例如显示名称、给定名称和姓氏。 然后，用户选择“继续”以创建帐户。

• 登录：用户注册并创建帐户后，可以通过输入电子邮件地址和密码登录。

• 密码重置：如果启用电子邮件与密码登录，密码页面上会显示密码重置链接。 如果用户忘记了密码，请选择此链接会将一次性密码发送到其电子邮件地址。 验证后，用户可以选择新密码。

  

创建注册和登录用户流时，默认选项是“电子邮件与密码”。

电子邮件与一次性密码登录

“电子邮件与一次性密码”是本地帐户标识提供者设置中的一个选项。 使用此选项，用户每次登录时都使用临时密码而不是存储的密码登录。

• 注册：用户可以使用其电子邮件地址注册并请求临时代码，该代码将发送到其电子邮件地址。 他们输入此代码后，可以继续登录。

• 登录：用户注册并创建帐户后，每次登录时，他们都会输入电子邮件地址并接收临时密码。

  

还可在登录页面配置用于显示、隐藏或自定义自助式密码重置链接的选项（了解详细信息）。

创建注册和登录用户流时，“电子邮件一次性密码”是本地帐户选项之一。

社交标识提供者：Facebook、Google 和 Apple

为获得最佳登录体验，请尽可能与社交标识提供者联合，以便为用户提供无缝的注册和登录体验。 在外部租户中，可以允许用户使用自己的 Facebook、Google 或 Apple 帐户注册和登录。

启用社交标识提供者时，用户可以从注册页面上提供的社交标识提供者选项中进行选择。 若要在外部租户中设置社交标识提供者，可在标识提供者处创建一个应用程序并配置凭据。 获取客户端或应用 ID、客户端或应用机密或证书，然后可用于配置外部租户。

Google 登录

通过设置与 Google 的联合，你可以允许用户使用自己的 Gmail 帐户登录到应用程序。 将 Google 添加为应用程序的登录选项之一后，在登录页面上，用户可以使用 Google 帐户登录到 Microsoft Entra 外部 ID。

以下屏幕截图显示了使用 Google 登录的体验。 在登录页中，用户选择“使用 Google 登录”。 此时，用户将重定向到 Google 标识提供者以完成登录。

了解如何将 Google 添加为标识提供者。

Facebook 登录

通过设置与 Facebook 的联合，你可以允许用户使用自己的 Facebook 帐户登录到应用程序。 将 Facebook 添加为应用程序的登录选项之一后，在登录页面上，用户可以使用 Facebook 帐户登录到 Microsoft Entra 外部 ID。

以下屏幕截图显示了使用 Facebook 登录的体验。 在登录页中，用户选择“使用 Facebook 登录”。 然后，用户将重定向到 Facebook 标识提供者以完成登录。

了解如何将 Facebook 添加为标识提供者。

Apple 登录（预览版）

通过设置与 Apple 的联合，你可以允许用户使用自己的 Apple 帐户登录到应用程序。 将 Apple 添加为应用程序的登录选项之一后，在登录页上，用户可以使用 Apple 帐户登录到 Microsoft Entra External ID。

以下屏幕截图显示了使用Apple登录的体验。 在登录页中，用户选择“使用 Apple 登录”。 然后，用户将被重定向到 Apple 标识提供者以完成登录。 了解如何将 Apple 添加为标识提供者。

自定义 SAML/WS-Fed 标识提供者

可以设置 SAML 或 WS-Fed 标识提供者，以允许用户使用自己的帐户与标识提供者注册和登录到应用程序。 用户可以通过选择 “注册” 或“ 登录” 选项来注册或登录。 它们会重定向到标识提供者，然后在成功登录后返回到 Microsoft Entra。 对于外部租户，用户的登录电子邮件不需要与 SAML 联合身份验证期间设置的预定义域匹配。 因此，通过添加、更改或删除域来更新联合设置不会影响现有用户的体验。

在登录页上输入电子邮件地址与任何外部标识提供者中的预定义域匹配的用户将被重定向，以使用该标识提供者进行身份验证。 如果没有帐户，系统可能会提示他们提供其他详细信息，并创建该帐户。

有关详细信息，请参阅 SAML/WS-Fed 标识提供者。 有关详细设置步骤，请参阅 添加与 SAML/WS-Fed 标识提供者的联合身份验证。

自定义 OIDC 标识提供者

可以设置自定义 OpenID Connect （OIDC） 标识提供者，以允许用户使用外部标识提供者中的凭据注册和登录到应用程序。 还可以使用 OIDC 协议将登录和注册流与 Azure AD B2C 租户联合起来。

了解如何设置自定义 OIDC 标识提供者。

更新登录方法

可以随时更新应用的登录选项。 例如，可以添加社交标识提供者或更改本地帐户登录方法。

更改登录方法时，更改仅会影响新用户。 现有用户会继续使用其原始方法登录。 例如，假设开始时选择的是使用电子邮件地址与密码的登录方法，然后更改为使用电子邮件地址与一次性密码。 新用户会使用一次性密码登录，但已使用电子邮件地址和密码注册的所有用户都会继续被提示输入其电子邮件地址和密码。

Microsoft 图形 API

支持使用以下 Microsoft Graph API 操作来管理 Microsoft Entra 外部 ID 中的标识提供者和身份验证方法：

• 若要确定支持哪些标识提供者和身份验证方法，可以调用 List availableProviderTypes API。
• 若要识别租户中已配置并启用的标识提供者和身份验证方法，可以调用 List IdentityProviders API。
• 若要启用受支持的标识提供者或身份验证方法，可以调用 Create identityProvider API。

相关内容

• 将 Facebook 添加为标识提供者
• 将 Google 添加为标识提供者
• 将 Apple 添加为标识提供者
• 添加与 SAML/WS-Fed 标识提供者的联合身份验证
• 将 OpenID Connect 添加为外部标识提供者