Azure Active Directory 中的外部标识是什么?

借助 Azure AD 中的外部标识,可以允许组织外部人员访问应用和资源,而让他们使用所需的任何标识进行登录。 合作伙伴、分销商、供应商、供应商和其他来宾用户可以“自带标识”。无论他们具有公司或政府颁发的数字标识,还是非托管社交标识,他们都可以使用自己的凭据登录。 外部用户的标识提供程序管理他们的标识,而你使用 Azure AD 管理对应用的访问,以便保护资源。

外部标识方案

Azure AD 外部标识在用户与组织的关系上关注较少,而更多地关注用户想要如何登录到应用和资源。 在此框架中,Azure AD 支持各种场景,从企业对企业 (B2B) 协作到面向消费者/客户或公民的应用程序(企业对客户或 B2C)的访问管理。

  • 与外部用户共享应用和资源(B2B 协作)。 邀请外部用户加入你自己的租户,作为可向其分配权限(用于授权)的“来宾”用户,同时允许他们使用现有凭据(用于身份验证)。 用户使用其工作帐户、学校帐户或其他电子邮件帐户通过简单的邀请和兑换过程登录到共享资源。 还可以使用 Azure AD 权利管理配置管理外部用户访问权限的策略。 可以自定义体验,以允许使用工作、学校或社交标识进行注册。 你还可以在注册过程中收集有关用户的信息。 有关详细信息,请参阅 Azure AD B2B 文档

  • 使用面向消费者和客户的应用 (Azure AD B2C) 的白标标识管理解决方案来构建用户旅程。 如果你是一个创建面向客户的应用的企业或开发人员,则可以使用 Azure AD B2C 扩展到数百万消费者、客户或公民。 开发人员可以将 Azure AD 用作其应用程序的全功能客户标识和访问管理 (CIAM) 系统。 客户可以使用已建立的标识登录。 借助 Azure AD B2C,可以在使用你的应用程序时,完全自定义和控制客户的注册和登录方式以及管理其个人资料。 有关详细信息,请参阅 Azure AD B2C 文档

比较外部标识解决方案

下表详细比较了可使用 Azure AD 外部标识实现的场景。

外部用户协作 (B2B) 访问面向消费者/客户的应用 (B2C)
主要场景 使用 Microsoft 应用程序(Microsoft 365、Teams 等)或你自己的应用程序(SaaS 应用、自定义开发的应用等)进行协作。 新式 SaaS 或自定义开发的应用程序(非第一方 Microsoft 应用)的标识和访问管理。
适用对象 与外部组织(如供应商和合作伙伴)的业务合作伙伴协作。 用户在目录中显示为来宾用户。 这些用户可能管理过 IT,也可能没有管理过 IT。 产品的客户。 这些用户在单独的 Azure AD 目录中进行管理。
支持的标识提供程序 外部用户可以使用工作帐户、学校帐户、任何电子邮件地址、SAML 和基于 WS 联合身份验证的标识提供者进行协作。 具有本地应用程序帐户的客户用户(任何电子邮件地址或用户名)、各种受支持的社交标识。
外部用户管理 外部用户在员工所在的目录中进行管理,但通常批注为来宾用户。 可采用与员工相同的方式管理来宾用户,还可将其添加到相同组等。 外部用户在 Azure AD B2C 目录中管理。 他们与组织的员工和合作伙伴目录(若有)分开管理。
单一登录 (SSO) 支持 SSO 到所有 Azure AD 连接的应用。 例如,可允许访问 Microsoft 365 或本地应用以及其他 SaaS 应用(例如 Salesforce 或 Workday)。 支持在 Azure AD B2C 租户中单一登录到客户自有应用。 不支持单一登录到 Microsoft 365 或其他 Microsoft SaaS 应用。
安全策略和合规性 由主办/邀请组织管理(例如,通过条件访问策略)。 由组织通过条件访问进行管理。
品牌打造 使用主办/邀请组织的品牌。 每个应用程序或组织可完全自定义的品牌。
计费模式 基于月度活跃用户 (MAU) 的外部标识定价
基于月度活跃用户 (MAU) 的外部标识定价
(另请参阅:B2C 设置详细信息
详细信息 博客文章文档 支持的 Azure AD 功能产品页面文档

使用 Azure AD 外部标识保护和管理超出组织边界的客户和合作伙伴。

关于多租户应用程序

如果你将应用作为服务提供,而不想管理客户的用户帐户,那么多租户应用可能是你的最佳选择。 当你开发面向其他 Azure AD 租户的应用程序时,可以定向到单个组织中的用户(单租户),或已具有 Azure AD 租户的任何组织的用户(多租户应用程序)。 默认情况下,Azure AD 中的应用注册是单租户,但你可以将注册设置为多租户。 这个多租户应用程序由你在自己的 Azure AD 中注册一次。 但之后,任何组织的任何 Azure AD 用户都可以使用该应用程序,而无需你执行其他操作。 有关详细信息,请参阅操作指南

后续步骤