Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Entra B2B collaboration (Microsoft Entra B2B) to funkcja tożsamości zewnętrznych , która umożliwia współpracę z innymi organizacjami i osobami. Umożliwia bezpieczne dołączanie gości do dzierżawy Microsoft Entra bez konieczności zarządzania ich poświadczeniami. Użytkownicy zewnętrzni przynoszą swoją tożsamość i poświadczenia od zewnętrznego dostawcy tożsamości, aby nie musieli zapamiętywać nowych poświadczeń.
Sposoby uwierzytelniania użytkowników zewnętrznych
Możesz wybrać metody uwierzytelniania użytkowników zewnętrznych do swojego katalogu. Możesz użyć IdP firmy Microsoft lub innych IdP.
W przypadku każdego zewnętrznego dostawcy tożsamości należy podjąć zależność od dostępności tego dostawcy tożsamości. Korzystając z niektórych metod łączenia się z dostawcami tożsamości, możesz podjąć działania, aby zwiększyć swoją odporność.
Uwaga / Notatka
Firma Microsoft Entra B2B ma wbudowaną możliwość uwierzytelniania dowolnego użytkownika z dowolnej dzierżawy Microsoft Entra ID lub z osobistego Konta Microsoft. Nie trzeba wykonywać żadnej konfiguracji z tymi wbudowanymi opcjami.
Zagadnienia dotyczące odporności z innymi dostawcami tożsamości
W przypadku korzystania z zewnętrznych dostawców tożsamości do uwierzytelniania użytkowników-gości istnieją konfiguracje, które należy utrzymać, aby zapobiec zakłóceniom.
| Metoda uwierzytelniania | Zagadnienia dotyczące odporności |
|---|---|
| Federacja z dostawcami tożsamości społecznościowych, takimi jak Facebook lub Google. | Musisz utrzymać swoje konto z IdP i skonfigurować Identyfikator klienta oraz tajny klucz klienta. |
| Federacja dostawcy tożsamości SAML/WS-Fed (IdP) | Musisz współpracować z właścicielem IdP w celu uzyskania dostępu do ich punktów końcowych, od których jesteś zależny. Należy zachować metadane zawierające certyfikaty i punkty końcowe. |
| Jednorazowy kod dostępu poczty e-mail | Zależysz od systemu poczty e-mail firmy Microsoft, systemu poczty e-mail użytkownika i klienta poczty e-mail użytkownika. |
Rejestracja samoobsługowa
Alternatywą dla wysyłania zaproszeń lub linków jest możliwość włączenia rejestracji samoobsługowej. Ta metoda umożliwia użytkownikom zewnętrznym żądanie dostępu do aplikacji. Należy utworzyć łącznik interfejsu API i skojarzyć go z przepływem użytkownika. Skojarzysz przepływy użytkowników, które definiują środowisko użytkownika z co najmniej jedną aplikacją.
Za pomocą łączników interfejsu API można zintegrować przepływ rejestracji użytkownika samoobsługowego z interfejsami API systemów zewnętrznych. Integracja API może służyć do niestandardowych przepływów pracy zatwierdzania, przeprowadzania weryfikacji tożsamości i innych zadań, takich jak zastępowanie atrybutów użytkownika. Korzystanie z interfejsów API wymaga zarządzania następującymi zależnościami.
- Uwierzytelnianie łącznika interfejsu API: konfigurowanie łącznika wymaga adresu URL punktu końcowego, nazwy użytkownika i hasła. Skonfiguruj proces, za pomocą którego te poświadczenia są przechowywane, i skontaktuj się z właścicielem interfejsu API, aby upewnić się, że znasz dowolny harmonogram wygaśnięcia.
- Odpowiedź łącznika interfejsu API: Zaprojektuj łączniki interfejsu API w przepływie rejestracji, aby zawiodły w sposób kontrolowany, jeśli interfejs API nie jest dostępny. Przeanalizuj i udostępnij deweloperom interfejsu API te przykładowe odpowiedzi interfejsu API oraz najlepsze rozwiązania dotyczące rozwiązywania problemów. We współpracy z zespołem deweloperów interfejsów API przetestuj wszystkie możliwe scenariusze odpowiedzi, w tym kontynuację, błąd weryfikacji i blokowanie odpowiedzi.
Dalsze kroki
Zasoby odporności dla administratorów i architektów
- Tworzenie odporności przy użyciu zarządzania poświadczeniami
- Budowanie odporności za pomocą stanów urządzeń
- Buduj odporność za pomocą Oceny Ciągłego Dostępu (CAE)
- Budowanie odporności w uwierzytelnianiu hybrydowym
- Zwiększ odporność w dostępie do aplikacji za pomocą serwera proxy aplikacji