Uplatnění pozvánky ke spolupráci B2B v Azure Active Directory

  • Článek
  • 8 min ke čtení

Tento článek popisuje způsoby, kterými můžou uživatelé typu Host získat přístup k vašim prostředkům a k procesu souhlasu, ke kterým dojde. Pokud odešlete e-mailovou pozvánku na hosta, pozvánka zahrnuje odkaz, který může host uplatnit, aby získal přístup k vaší aplikaci nebo portálu. E-mail pozvánky je jedním z způsobů, jak hosté můžou získat přístup k vašim prostředkům. Jako alternativu můžete do svého adresáře přidat hosty a dát jim přímý odkaz na portál nebo aplikaci, kterou chcete sdílet. Bez ohledu na to, jakou metodu používají, se hostů prostřednictvím procesu souhlasu při prvním použití. Tento proces zajistí, že se vaši hosté dohodli na podmínky ochrany osobních údajů a přijmou podmínky použití , které jste si nastavili.

Když do svého adresáře přidáte uživatele typu Host, má uživatelský účet hosta stav souhlasu (zobrazitelný v PowerShellu), který je zpočátku nastavený na PendingAcceptance. Toto nastavení zůstane, dokud uživatel nepřijme pozvání a schválí vaše zásady ochrany osobních údajů a podmínky použití. Po tomto případě se stav souhlasu změní na přijato a na hostovi se již neprezentují stránky souhlasu.

Důležité

  • Od 12. července 2021 platí, že pokud si zákazníci Azure AD B2B nastavili novou integraci Google pro použití s samoobslužnou registrací pro vlastní nebo obchodní aplikace, ověřování pomocí Google identity nebude fungovat, dokud nebudou ověření přesunutá do systémových webových zobrazení. Přečtěte si další informace.
  • Od 30. září 2021 přestane Google zastaralá podpora vloženého webového zobrazení pro přihlašování. Pokud vaše aplikace ověřuje uživatele pomocí vloženého webového zobrazení a používáte Google Federation s Azure AD B2C nebo Azure AD B2B pro externí pozvánky uživatelů nebo samoobslužné registrace, uživatelé Google Gmail se nebudou moci ověřit. Přečtěte si další informace.
  • Od 1. listopadu 2021 začneme zavádět změnu pro zapnutí jednorázové funkce e-mailového hesla pro všechny existující klienty a pro nové klienty ho ve výchozím nastavení povolíme. V rámci této změny přestane společnost Microsoft při uplatnění pozvánky B2B pro spolupráci v B2B vytvářet nové, nespravované ("virové") účty a klienty Azure AD. Aby se minimalizovaly výpadky během svátků a uzamčení nasazení, většina klientů uvidí změny, které se vyvolaly v lednu 2022. Povolujeme funkci jednorázového hesla e-mailu, protože pro uživatele typu Host nabízí bezproblémové záložní metody ověřování. Pokud však nechcete povolit automatické zapnutí této funkce, můžete ji zakázat.

Uplatnění a přihlášení prostřednictvím společného koncového bodu

Uživatelé typu Host se teď můžou přihlašovat k aplikacím pro více tenantů nebo od Microsoftu prostřednictvím běžného koncového bodu (URL), například https://myapps.microsoft.com . Dřív by běžná adresa URL mohla přesměrovat uživatele typu host na svého svého svého svého klienta, nikoli na svého tenanta prostředků pro ověřování, takže byl vyžadován odkaz pro konkrétního tenanta (například https://myapps.microsoft.com/?tenantid=<tenant id> ). Uživatel typu Host může nyní přejít na běžnou adresu URL aplikace, zvolit Možnosti přihlášení a pak vybrat Přihlásit se k organizaci. Uživatel pak zadá název vaší organizace.

Přihlášení ke společnému koncovému bodu

Uživatel se pak přesměruje na koncový bod tenanta, kde se může přihlásit pomocí e-mailové adresy nebo vybrat zprostředkovatele identity, kterého jste nakonfigurovali.

Jako alternativu k e-mailu s pozvánkou nebo k běžné adrese URL aplikace můžete hostům poskytnout přímý odkaz na vaši aplikaci nebo portál. Nejdřív je potřeba přidat uživatele typu Host do adresáře prostřednictvím Azure Portal nebo PowerShellu. Pak můžete použít kterýkoli z přizpůsobitelných způsobů, jak nasadit aplikace pro uživatele, včetně odkazů přímo přihlašování. Když host použije přímý odkaz namísto e-mailu s pozvánkou, bude se dál nacházet pomocí prostředí pro vyjádření souhlasu po prvním čase.

Poznámka

Přímý odkaz je specifický pro tenanta. Jinými slovy, zahrnuje ID tenanta nebo ověřenou doménu, aby bylo možné hosta ověřit ve vašem tenantovi, kde se nachází sdílená aplikace. Tady je několik příkladů přímých odkazů s kontextem tenanta:

  • Přístupový panel aplikací: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Přístupový panel aplikací pro ověřenou doménu: https://myapps.microsoft.com/<;verified domain>
  • Azure Portal: https://portal.azure.com/<tenant id>
  • Individuální aplikace: viz jak použít přímý odkaz na přihlášení .

V některých případech se doporučuje e-mailem pozvánky používat přímý odkaz. Pokud jsou tyto zvláštní případy pro vaši organizaci důležité, doporučujeme, abyste uživatele pozvali pomocí metod, které pořád odesílají e-mail s pozvánkami:

  • Uživatel nemá účet Azure AD, účet MSA nebo e-mailový účet ve federované organizaci. Pokud nepoužíváte funkci jednorázového hesla, Host musí uplatnit e-mail s pozvánkou, aby se provedou kroky pro vytvoření MSA.
  • někdy je možné, že objekt pozvaného uživatele nemá e-mailovou adresu z důvodu konfliktu s objektem contact (například objekt kontaktu Outlook). V takovém případě musí uživatel v e-mailu s pozvánkou kliknout na adresu URL pro uplatnění.
  • Uživatel se může přihlásit pomocí aliasu e-mailové adresy, která byla pozvána. (Alias je další e-mailová adresa přidružená k e-mailovému účtu.) V takovém případě musí uživatel v e-mailu s pozvánkou kliknout na adresu URL pro uplatnění.

Vyplacení prostřednictvím e-mailu s pozvánkou

Když do svého adresáře přidáte uživatele typu host pomocí Azure Portal, pošle se na hostovi v procesu e-mail s pozvánkou. Můžete také odeslat e-maily pozvánky, když používáte PowerShell k přidání uživatelů typu Host do adresáře. Tady je Popis prostředí hosta při uplatnění odkazu v e-mailu.

  1. Host dostane e-mail pozvánky , která se pošle z pozvánky Microsoftu.
  2. Host vybere přijmout pozvánku v e-mailu.
  3. Host bude používat vlastní přihlašovací údaje pro přihlášení k adresáři. Pokud host nemá účet, který může být federovaný pro váš adresář a funkce e-mailového hesla (jednorázového hesla) není povolená; Host se zobrazí výzva k vytvoření osobního MSA nebo samoobslužného účtu služby Azure AD. Podrobnosti najdete v tématu postup pro uplatnění pozvánky .
  4. Host se provede prostřednictvím souhlasu uživatele uvedeného níže.

Omezení uplatnění s konfliktním objektem kontaktu

Někdy může být pozvaní e-mailový uživatel typu Host v konfliktu s existujícím objektem Contact, což vede k tomu, že uživatel typu Host je vytvořen bez ProxyAddress. Toto je známé omezení, které brání uživatelům typu host z:

Chcete-li odblokovat uživatele, kteří nemohou uplatnit pozvánku kvůli konfliktnímu objektu kontaktu, postupujte takto:

  1. Odstraňte konfliktní objekt kontaktu.
  2. Odstraňte uživatele typu Host v Azure Portal (vlastnost "Pozvánka byla přijata") by měla být ve stavu čekání na vyřízení.
  3. Znovu pozvat uživatele typu Host.
  4. Počkejte, až uživatel uplatní pozvánku.
  5. přidejte kontaktní e-maily uživatele zpátky do Exchange a všech DLs, které by měly být součástí.

Tok uplatnění pozvánky

Když uživatel klikne na odkaz přijmout pozvánku v e-mailu s pozvánkou, Azure AD automaticky uplatní pozvánku na základě toku uplatnění, jak je znázorněno níže:

Snímek obrazovky znázorňující diagram toku uplatnění

*Pokud se hlavní název uživatele (UPN) uživatele shoduje s existujícím účtem Azure AD i osobním MSA, zobrazí se uživateli výzva k výběru účtu, se kterým chtějí uplatnit.

  1. Azure AD provede zjišťování na základě uživatelů a určí, jestli uživatel existuje v existujícím Tenantovi Azure AD.

  2. Pokud správce povolil IDP federaci SAML/WS, Azure AD zkontroluje, jestli přípona domény uživatele odpovídá doméně konfigurovaného poskytovatele identity SAML/WS, a přesměruje uživatele na předem nakonfigurovaného zprostředkovatele identity.

  3. Pokud správce povolil Google Federation, Azure AD zkontroluje, jestli je přípona domény uživatele gmail.com nebo googlemail.com, a přesměruje uživatele na Google.

  4. Proces uplatnění kontroluje, jestli má uživatel existující osobní účet Microsoft (MSA) pro využití JIT (just-in-time), ale ne pro vyrovnávání e-mailových odkazů na pozvánky. Pokud už uživatel má existující MSA, přihlásí se pomocí svých stávajících MSA.

  5. Po identifikaci domovského adresáře uživatele se uživateli pošle odpovídající zprostředkovatel identity, aby se přihlásil.

  6. Pokud kroky 1 až 4 nenaleznou domovský adresář pro pozvaného uživatele, Azure AD určí, jestli má tenant povolenou funkci jednorázového hesla k e-mailu pro hosty.

  7. Pokud je povolený e-mailová hesla pro hosty, pošle se uživateli heslo prostřednictvím pozvaného e-mailu. Uživatel načte a zadá toto heslo na přihlašovací stránce služby Azure AD.

  8. Pokud je e-mailové heslo pro hosty zakázané, Azure AD ověří příponu domény a určí, jestli patří do účtu uživatele. V takovém případě se uživateli zobrazí výzva k vytvoření osobního účet Microsoft. V takovém případě se uživateli zobrazí výzva k vytvoření účtu samoobslužné služby Azure AD.

  9. Služba Azure AD se pokusí vytvořit účet samoobslužné služby Azure AD tím, že ověří přístup k e-mailu. Ověřování účtu se provádí odesláním kódu do e-mailu a uživatel ho načte a odešle do Azure AD. Pokud je však tenant pozvaného uživatele federovaný nebo pokud je v tenantovi pozvaného uživatele nastaveno na hodnotu false, uživatel nemůže dokončit uplatnění a výsledkem toku je chyba. další informace najdete v tématu řešení potíží s Azure Active Directory spolupráce B2B.

  10. Uživateli se zobrazí výzva k vytvoření osobního účet Microsoft (MSA).

  11. Po ověření u správného zprostředkovatele identity se uživatel přesměruje do služby Azure AD, aby se dokončilo prostředí pro vyjádření souhlasu.

V případě využití JIT (just-in-time), kdy je uplatněna prostřednictvím odkazu na tenanta aplikace, nejsou k dispozici kroky 8 až 10. Pokud uživatel dosáhne kroku 6 a funkce jednorázového e-mailového hesla není povolená, uživatel dostane chybovou zprávu a nemůže uplatnit pozvání. Aby se zabránilo této chybě, Správci by měli buď Povolit jednorázové heslo e-mailu , nebo zajistit, aby uživatel kliknul na odkaz na pozvánku.

Když se host přihlásí k přístupu k prostředkům v partnerské organizaci poprvé, provedou se následující stránky.

  1. Host zkontroluje stránku oprávnění pro kontrolu , která popisuje prohlášení o zásadách ochrany osobních údajů ve vaší organizaci. Uživatel musí přijmout informace v souladu se zásadami ochrany osobních údajů v organizaci, aby bylo možné pokračovat.

    Snímek obrazovky se stránkou Zkontrolovat oprávnění

    Poznámka

    Informace o tom, jak můžete jako správce tenanta propojit prohlášení o zásadách ochrany osobních údajů vaší organizace, najdete v tématu Postupy:Přidání informací o ochraně osobních údajů vaší organizace v Azure Active Directory .

  2. Pokud jsou nakonfigurované podmínky použití, host se otevře, prošeptá podmínky použití a pak vybere Přijmout.

    Snímek obrazovky zobrazující nové podmínky použití

    Podmínky použití můžete nakonfigurovat v tématu Externí identity > Podmínky použití.

  3. Pokud není uvedeno jinak, host se přesměruje na přístupový panel Aplikace, kde je seznam aplikací, ke kterým má host přístup.

    Snímek obrazovky s přístupem k aplikacím

Poznámka

Prostředí pro udělení souhlasu se zobrazí až po přihlášení uživatele, nikoli dříve. Existují situace, kdy se prostředí pro udělení souhlasu uživateli nezobrazí, například:

  • Uživatel už přijal prostředí pro udělení souhlasu.
  • Správce uděluje aplikaci souhlas správce v rámci celého tenanta.

Ve vašem adresáři se hodnota Pozvánka hosta přijímaná změní na Ano. Pokud se vytvořil účet MSA, ve zdroji hosta se zobrazí účet Microsoft. Další informace o vlastnostech uživatelského účtu hosta najdete v tématu Vlastnosti uživatele spolupráce B2B služby Azure AD. Pokud se při přístupu k aplikaci zobrazí chyba, která vyžaduje souhlas správce, podívejte se, jak udělit souhlas správce aplikacím.

Další kroky