Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: 
Inquilinos externos (más información)
Id. externa de Microsoft Entra agrega la administración de identidades y acceso de clientes (CIAM) a la aplicación en la plataforma de Microsoft Entra, por lo que obtendrá una integración coherente de aplicaciones, administración de inquilinos y operaciones en escenarios de personal y cliente.
Este artículo es una guía de toma de decisiones para los seis pasos de planeación. Cada sección resume las opciones clave y los vínculos a los documentos de procedimientos y referencia canónicos.
Vaya a un paso para obtener más información o vaya directamente a las Guías paso a paso.
Paso 1: Creación de un inquilino externo
Tu tenant externo es el entorno donde registras aplicaciones y administras las identidades de los clientes, separado de tu tenant de la plantilla. Al crearlo, elija su ubicación geográfica y su nombre de dominio. Si actualmente usa Azure AD B2C, los inquilinos de B2C existentes no se ven afectados; consulte Planear la migración de Azure AD B2C al identificador externo.
Importante
A partir del 1 de mayo de 2025, Azure Active Directory B2C (Azure AD B2C) ya no está disponible para que los nuevos clientes compren. Para obtener más información, consulte Is Azure AD B2C todavía disponible para comprar? en nuestras preguntas más frecuentes.
El directorio contiene cuentas de administrador y cuentas de cliente. Los clientes normalmente se registran automáticamente; También puede crear cuentas locales. Las cuentas de cliente tienen un conjunto de permisos predeterminado restringido y no pueden ver otros usuarios, grupos o dispositivos.
Creación de un inquilino externo
- Crear un inquilino externo en el Centro de administración Microsoft Entra.
- ¿Aún no tiene un inquilino? Inicie una evaluación gratuita.
- ¿Uso de VS Code? Use la extensión Id. externa de Microsoft Entra (más información).
Paso 2: Elegir un enfoque de autenticación
Decida cómo compilar la experiencia de inicio de sesión antes de registrar la aplicación. Esta opción impulsa el resto de la integración.
- Autenticación delegada al explorador — Microsoft aloja la página de inicio de sesión; tu aplicación redirige a los usuarios allí. Amplia compatibilidad con múltiples plataformas, SSO mediante el navegador del sistema, menos mantenimiento.
- Autenticación nativa : la aplicación hospeda la interfaz de usuario de inicio de sesión y llama directamente a MSAL o a la API de autenticación nativa. Control total de la interfaz de usuario, mayor responsabilidad de desarrollo y seguridad.
Elección de un enfoque de autenticación
- Elija un enfoque de autenticación : comparación de características y desventajas.
- Descripción general de la autenticación nativa — en detalle si está considerando la autenticación nativa.
Paso 3: Registrar la aplicación
Registre la aplicación en el inquilino externo para establecer una relación de confianza con Microsoft Entra ID. La configuración que configure depende del enfoque de autenticación que eligió en el paso 2:
| Setting | Delegado por explorador | Autenticación nativa |
|---|---|---|
| URI de redirección | Obligatorio (coincide con la devolución de llamada de inicio de sesión de la aplicación) | Solo es necesario como reserva web |
| Flujos de cliente públicos | No es necesario | Enabled |
| Autenticación nativa | No es necesario | Enabled |
Después de registrar la aplicación, actualice el código con el identificador de aplicación (cliente), el subdominio de inquilino y (si procede) el secreto de cliente.
Cómo registrar tu aplicación
- Busque instrucciones específicas de la plataforma en la página Ejemplos por tipo de aplicación e idioma.
- Si tu plataforma no está en la lista, sigue la guía de inicio rápido general para registrar una aplicación.
- Para obtener la configuración de la aplicación de autenticación nativa, consulte Habilitación de la autenticación nativa.
Paso 4: Integración de un flujo de inicio de sesión con la aplicación
Cree un flujo de usuario de registro e inicio de sesión que defina los métodos de inicio de sesión, los atributos que se van a recopilar y los proveedores de identidades de la aplicación. Cree el flujo de usuario de la misma manera para ambos enfoques de autenticación; la diferencia es la forma en que la aplicación lo controla en tiempo de ejecución:
| Delegado por explorador | Autenticación nativa | |
|---|---|---|
| Comportamiento en tiempo de ejecución | La aplicación redirige a la página de inicio de sesión hospedada en Microsoft | La aplicación llama a las API de autenticación nativa de MSAL desde su propia interfaz de usuario. |
| Tipos de aplicaciones compatibles | Web, SPA, móvil, demonio | Móvil, SPA |
| Proveedores de identidades federados (redes sociales, idP externas) | Supported | No compatible: use delegado por explorador si es necesario |
| Branding de empresa | Se aplica a las páginas hospedadas en Microsoft | Administrado en la interfaz de usuario o localización de la aplicación |
| Colección de atributos | Configurado en el flujo de usuario | Configurado en el flujo de usuario; enviado a través del generador de atributos de usuario de MSAL |
Planeamiento del flujo de usuario
- Número de flujos de usuario. Cada aplicación usa un flujo de usuario. Puede compartir un flujo entre aplicaciones o crear hasta 10 por inquilino para experiencias diferenciadas.
- Atributos que se van a recopilar. Decida qué atributos integrados necesita y si necesita atributos personalizados.
- Términos y condiciones de consentimiento. Use atributos personalizados para capturar el consentimiento con vínculos a sus términos y directivas de privacidad.
- Notificaciones de token.Agregue atributos necesarios al token si la aplicación depende de ellos.
- Métodos de inicio de sesión. Las cuentas locales (OTP de correo electrónico, correo electrónico y contraseña) funcionan con ambos enfoques. Los proveedores federados (Google, Facebook, Apple, otro inquilino de Microsoft Entra, OIDC personalizado) requieren autenticación delegada por explorador.
Integración de un flujo de usuario con la aplicación
- Defina atributos personalizados (si es necesario).
- Cree el flujo de usuario de registro e inicio de sesión.
- Agregue la aplicación al flujo de usuario.
- Conecta el código de tu aplicación:
- Delegado por el explorador: siga un ejemplo o una guía de inicio rápido para su tipo de aplicación.
- Autenticación nativa: siga la introducción a la autenticación nativa y los tutoriales.
Paso 5: Protege tu inicio de sesión
Cada aplicación orientada al cliente necesita MFA y una revisión de seguridad de línea base. Las aplicaciones nativas de autenticación requieren trabajo adicional: dado que tu aplicación es el punto de entrada expuesto para el inicio de sesión, la proteges con un firewall de aplicaciones web (WAF). Las aplicaciones delegadas en el navegador heredan las protecciones de nivel de plataforma de Microsoft en las páginas de inicio de sesión alojadas.
- Habilite MFA.Métodos MFA disponibles.
- Revise la seguridad y la gobernanza. Acceso condicional, directivas basadas en riesgos, auditoría. Consulte Seguridad y gobernanza.
- Agregue bot protection(solo autenticación nativa) . Requiere un dominio de dirección URL personalizado. Consulte Integrar la protección de bots de terceros.
- Añadir protección contra la apropiación de cuentas (ATO)(solo para autenticación nativa). Requiere un dominio de dirección URL personalizado. Consulte Integrar la protección ATO de terceros.
Paso 6: Personalizar el inicio de sesión
Personalice la apariencia del inicio de sesión y extiéndala con su propia lógica empresarial. Con la autenticación nativa, tu aplicación controla la interfaz de usuario, por lo que la característica de imagen de marca corporativa de Microsoft Entra no se aplica; administra los elementos visuales y la localización en el código de tu aplicación.
- Personalice la marca(solo con delegación del navegador). Aplique el logotipo, los colores y las cadenas de idioma a las páginas de inicio de sesión hospedadas en Microsoft. Consulte Personalizar la apariencia del inicio de sesión.
- Use un dominio de dirección URL personalizado. Reemplace el host predeterminado
ciamlogin.compor su propio dominio. También es un requisito previo para la protección nativa de bot/ATO de autenticación en el paso 5. Consulte Dominio de dirección URL personalizada. - Agregue extensiones de autenticación personalizadas. Amplíe el flujo con lógica del lado servidor. Las extensiones de emisión de tokens funcionan con ambos enfoques; las extensiones de colección de atributos son solo delegadas por el explorador. Consulte Extensiones de autenticación personalizadas.
Pasos siguientes
- Comience una prueba gratuita o cree su tenant externo.
- Busque ejemplos e instrucciones para integrar la aplicación.
- Obtenga información sobre cómo migrar usuarios desde el proveedor de identidades actual.
- Consulte también la Id. externa de Microsoft Entra Centro para desarrolladores para obtener el contenido y los recursos más recientes para desarrolladores.
- guía de implementación de Id. externa de Microsoft Entra para las operaciones de seguridad