Microsoft Entra External ID - Features und Konfiguration

post-thumb

Customer Identity & Access Management (CIAM)

Customer Identity & Access Management (CIAM) ist ein Konzept, das Unternehmen dabei unterstützt, die Identität und den externen Zugang von Kunden und Kundinnen zu ihren digitalen Diensten und Anwendungen zu verwalten. CIAM ist damit eine Untergruppe des umfassenderen Konzepts des Identity & Access Managements (IAM) im Unternehmen und umfasst verschiedene Aspekte, darunter:

  1. Identitätsmanagement: Verwaltung von Benutzerkonten, einschließlich der Registrierung, Authentifizierung und Autorisierung von Kunden und Kundinnen.
  2. Benutzerdatenverwaltung: Speicherung und Pflege von Kundeninformationen, einschließlich persönlicher Daten und Präferenzen.
  3. Sicherheitsfunktionen: Implementierung von Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), um unbefugten Zugriff zu verhindern.
  4. Compliance: Sicherstellung der Einhaltung von Datenschutzbestimmungen wie der Datenschutz-Grundverordnung (DSGVO) in der EU.
  5. Benutzererfahrung: Bereitstellung einer nahtlosen und benutzerfreundlichen Anmeldung und Verwaltung von Konten, um die Kundenzufriedenheit zu erhöhen.
  6. Integration: Verbindung mit anderen Systemen, digitalen Diensten und Anwendungen, um einen einheitlichen und nahtlosen Zugang zu verschiedenen Dienstleistungen zu ermöglichen.

CIAM hilft dabei nicht nur die Kundenidentitäten zu verwalten, die Sicherheit zu erhöhen und den Zugriff zu kontrollieren, sondern stärkt auch die Kundenbindung und verbessert die Effizienz der Geschäftsprozesse.

Microsoft Entra External ID

Entra External ID (EEID) ist die Identity & Access Management Lösung von Microsoft, die speziell für die Verwaltung externer Kundenidentitäten seit Mai 2024 verfügbar ist. EEID ist das nächste Generation von CIAM und löst die bisherige Lösung Azure AD B2C ab.

Microsoft Entra External ID
Abb.: Microsoft Entra External ID (Quelle: Microsoft)


EEID ermöglicht Unternehmen, die Identität von Benutzern und Benutzerinnen, die nicht Mitarbeitende sind (z. B. Partner, Kunden oder Dienstleister), sicher zu verwalten und ihnen den Zugang zu Anwendungen und Ressourcen zu gewähren. Die wichtigsten Funktionen von Entra External ID sind:

  1. Registrierung und Anmeldung (Authentifizierung): Benutzer und Benutzerinnen können sich einfach für bereitgestellte digitale Dienste, Anwendungen oder Ressourcen registrieren (Sign Up) und anmelden (Sign In). Hierfür können neben E-Mail und Passwort oder der Kombination aus E-Mail und Einmalpasswort (OTPC) im Registrierungs- und Anmeldeprozess auch soziale Medien (z. B. Facebook, Google) oder andere Identitätsanbieter (z. B. Entra ID, SAML/WS-Fed) verwendet werden.
  2. Registrierungs- und Anmeldebenutzerflow erweitern: Innerhalb eines Registrierungs- und Anmeldebenutzerflows gibt es integrierte Authentifizierungsereignisse, bei denen eine eigene Geschäftslogik oder Workflows per REST-API Calls ausgeführt werden können.
    mögliche Authentifizierungsereignisse
    Abb.: Mögliche Authentifizierungsereignisse (Quelle: Microsoft)


    Auf Authentifizierungsereignisse zu reagieren ist sinnvoll, um z. B. Registrierungsseiten vor zu befüllen, Fehler auszugeben, Registrierungen zu blockieren, eingegebene Daten zu überprüfen oder Authentifizierung-Token mit Daten aus Drittsystemen als Claims anzureichern.

  3. Zugriffsverwaltung (Autorisierung): Unternehmen können steuern, welche externen Benutzer auf bestimmte Ressourcen zugreifen dürfen und Berechtigungen entsprechend anpassen. Die Zugriffsverwaltung kann u.a. auf Basis von Rollen (RBAC), Gruppen (GBAC) oder Token-basiert über Claims erfolgen.
  4. Self-Services: Anpassungen an Profildaten für definierte Attribute (Profil edit) sowie das Zurücksetzen von Passwörtern (Password reset) können im Self-Service von Kunden und Kundinnen selbst durchgeführt werden.
  5. Sicherheitsfunktionen: Multi-Faktor-Authentifizierung (MFA) und andere Sicherheitsmaßnahme, wie bedingter Zugriff erhöhen die Sicherheit beim Zugriff auf die Unternehmensressourcen.
  6. Governance & Compliance: Unterstützung bei der Einhaltung von Datenschutz- und Sicherheitsstandards sowie der Bereitstellung und Verknüpfung von Nutzungsbedingungen und Regeln zur Altersbeschränkungen.
  7. Aussehen und Verhalten: Eine einfache, intuitive und anpassbare Benutzeroberfläche verbessert die nahtlose Benutzererfahrung und erhöht die Wahrscheinlichkeit, dass externe Benutzer die Dienste nutzen. Über Anpassungsmöglichkeiten im Aussehen und durch die Verwendung von eigenen Domain-Namen in den URLs wird ein einheitliches Unternehmensbranding gewährleistet. Es werden aktuell 36 Sprachen unterstützt.
  8. Integration: Nahtlose Integration mit anderen Microsoft-Diensten und Drittanbieter-Anwendungen.

Unternehmen, die regelmäßig mit externen Partnern und Partnerinnen oder Kunden und Kundinnen zusammenarbeiten, nutzen Entra External ID, um eine sichere Authentifizierung und effiziente Autorisierung dieser Benutzer zu gewährleisten. Gleichzeitig stellt die Lösung sicher, dass Sicherheits- und Compliance-Anforderungen erfüllt werden.

Demo

Im Rahmen dieser Demo demonstrieren wir Ihnen, wie Entra External ID als CIAM-Lösung für Anwendungen eingerichtet werden kann. Dazu erstellen wir einen neuen External ID Tenant, richten einen Nutzerfluss ein, binden eine Anwendung an und passe das Design der Anmeldeseite an.

Erstellen eines External ID Tenants

Zunächst erstellen wir einen neuen Entra External ID Tenant. Dieser Tenant ist separat von unserem internen Unternehmensmandanten und wird ausschließlich für die Verwaltung von Kundenidentitäten verwendet.

Dazu navigieren wir zum Microsoft Entra Admin Center (https://entra.microsoft.com ). Nach der Anmeldung können wir unter “Identität” > “Übersicht” die Schaltfläche „Mandanten verwalten“ auswählen. Über den Button „Erstellen“ starten wir den Konfigurationsdialog eines neuen Mandanten und wählen „Extern“ aus.
Auf der anschließenden Konfigurationsseite geben wir „Objektkultur-Kunden“ als Mandantenname und Objektkulturcustomers als Domänenname an. Der Mandantenname wird nach der Erstellung im Entra Portal angezeigt, um den Tenant identifizieren zu können. Der Domänenname muss eindeutig sein und wird automatisch um die Endung „.onmicrosoft.com“ ergänzt. Diese Domäne wird Teil der Anmelde-URL für die Nutzer und Nutzerinnen des Tenants. Aus dem von uns gewählten Standort „Deutschland“ ergibt sich der geografische Standort „Europa“. Der Standort bestimmt die verwendeten Rechenzentren und kann nach der Erstellung nicht mehr geändert werden.

Dialog zur Mandantenerstellung
Abb.: Dialog zur Mandantenerstellung


Nach der Grundkonfiguration wählen wir ein Azure-Abonnement aus und erstellen eine Ressourcengruppe für den Tenant. Nachdem wir die Angaben auf der letzten Seite des Dialogs überprüft haben, starten wir die Erstellung.

Konfigurieren eines Userflows

Nachdem unser Entra External ID Tenant erstellt wurde, richten wir einen Userflow für die Registrierung und Anmeldung ein.

Dazu navigieren wir, nach dem Wechsel in den neuerstellten Tenant, im Entra Admin Center zu “Identitäten” > “Azure AD External Identities” > “Benutzerflows” und klicken auf „Neuer Benutzerflow“. Den neuen Flow nennen wir „SignUpSignIn“, da er sowohl für die Registrierung als auch für die Anmeldung verwendet wird. Als Identitätsanbieter wählen wir „E-Mail mit Kennwort“, weil diese Anmeldemethode den meisten Nutzern und Nutzerinnen vertraut ist. Entra External ID unterstützt alternativ auch die Anmeldung mit einem Einmal-Passcode oder mit anderen Identitätsanbietern, wie Google oder Facebook. Anschließend wählen wir die Benutzerattribute aus, die während der Registrierung erfasst werden sollen. Wir entscheiden uns für „Vorname“, „Nachname“ und „Anzeigename“. Entra External ID unterstützt auch die Erstellung von benutzerdefinierten Attributen, falls besondere Informationen über die Nutzer und Nutzerinnen benötigt werden.

Dialog zur Userflow-Erstellung
Abb.: Dialog zur Userflow-Erstellung


Die gewählte Konfiguration kann auch nach der Erstellung noch geändert werden. Über die Schaltfläche „Erstellen“ legen wir den Userflow an.

Anbinden einer Anwendung

Nachdem wir im vorhergehenden Schritt einen Userflow konfiguriert haben, binden wir jetzt eine Anwendung daran an. Das ermöglicht der Anwendung die Nutzung des konfigurierten Registrierungs- und Anmeldeprozesses.

Wir haben die Anwendung, welche wir verwenden wollen, bereits im Entra External ID Tenant registriert, um die notwendigen Client-IDs und URIs zu erhalten. Auf der Benutzerflows-Oberfläche wählen wir zunächst den konfigurierten Userflow und auf der sich öffnenden Konfigurationsseite „Anwendungen“ aus. Anschließend klicken wir auf „Anwendung hinzufügen“ und wählen in der Liste der verfügbaren Anwendungen unsere „Objektkultur-Kundenportal-Anwendung“ aus.

Auswählen der anzubindenden Anwendung
Abb.: Auswählen der anzubindenden Anwendung


Durch das Hinzufügen der Anwendung zu dem Userflow wird eine Verbindung zwischen der Anwendung und dem konfigurierten Authentifizierungsprozess hergestellt. Die Anwendung kann den sicheren und anpassbaren Registrierungs- und Anmeldeprozess von Entra External ID anschließend verwenden.

Anpassen der Benutzeroberfläche

Zum Abschluss passen wir die Anmelde- und Registrierungsseite an, um das Benutzererlebnis zu verbessern. Dazu navigieren wir zu “Benutzererfahrungen” > “Unternehmensbranding” und wählen „Anpassen“ unter dem Punkt “Standardanmeldeerfahrung” aus.

Unter „Allgemeine Informationen“ laden wir ein Hintergrundbild für die Anmeldeseite hoch. Auf der nächsten Seite behalten wir das zentrierte Layout aus den Voreinstellungen bei, da diese Ansicht auf verschiedenen Bildschirmgrößen gut aussieht. An der Kopfzeile nehmen wir keine Anpassungen vor und unter Fußzeile hinterlegen wir Links zu unseren Datenschutz- und Nutzungsbedingungen. Auf der Seite „Anmeldeformular“ laden wir nur ein passendes Bannerlogo hoch. Abschließend fügen wir auf der Seite Text noch angepasste Texte für die Registrierung hinzu. Dazu wählen wir zunächst die Schaltfläche „Add Custom Text“ aus und selektieren im Dropdown-Menü „Text zum Anpassen“ anschließend die Option „Registrieren“. Als Titel tragen wir „Willkommen bei Objektkultur“ ein und ergänzen unter Beschreibung einen kurzen Text, der die Vorteile der Registrierung erläutert. Nachdem wir die gewünschten Elemente angepasst haben, klicken wir auf „speichern“ und sehen die Änderungen nach einer kurzen Zeit auf den Anmelde- und Registrierungsseiten. Die vorgenommenen Änderungen werden für alle Anmelde- und Registrierungsseiten von Anwendungen in diesem Tenant übernommen.

Vorher und Nachher der Benutzeroberfläche
Abb.: Vorher und Nachher der Benutzeroberfläche


Mit dieser letzten Änderung haben wir erfolgreich einen Entra External ID Tenant erstellt, einen Userflow konfiguriert, eine Anwendung angebunden und die Oberfläche angepasst.

Autoren des Beitrags

Christopher Martin

Christopher Martin

Christopher Martin ist Managing Consultant und als Projektleiter, Architekt und Entwickler für Kundenprojekte verantwortlich. Nach einer Ausbildung und dem anschließendem Studium ist er seit 2009 Teil der Objektkultur-Familie. Seitdem entwickelt er …

Philipp Löwer

Philipp Löwer

Philipp Löwer ist Senior Consultant bei der Objektkultur Software GmbH. Sein Fokus liegt auf dem Bereich Identity & Security, wo er Unternehmen bei der Implementierung robuster Sicherheitslösungen unterstützt. Darüber hinaus bringt er sein …

Lernen Sie uns kennen

Das sind wir

Wir sind ein Software-Unternehmen mit Hauptsitz in Karlsruhe und auf die Umsetzung von Digitalstrategien durch vernetzte Cloud-Anwendungen spezialisiert. Wir sind Microsoft-Partner und erweitern Standard-Anwendungen bei Bedarf – egal ob Modernisierung, Integration, Implementierung von CRM- oder ERP-Systemen, Cloud Security oder Identity- und Access-Management: Wir unterstützen Sie!

Mehr über uns

Das könnte Ihnen auch gefallen

Der Objektkultur-Newsletter

Mit unserem Newsletter informieren wir Sie stets über die neuesten Blogbeiträge,
Webcasts und weiteren spannenden Themen rund um die Digitalisierung.

Newsletter abonnieren