Concesión a cuentas de asociado localmente administradas de acceso a los recursos en la nube mediante la colaboración B2B de Microsoft Entra
Antes de Microsoft Entra ID, las organizaciones con sistemas de identidad locales administraban tradicionalmente las cuentas de asociado en sus directorios locales. En este tipo de organización, cuando comienzan a moverse las aplicaciones a Microsoft Entra ID, conviene tener la seguridad de que los asociados pueden acceder a los recursos que necesitan. No importa si los recursos se encuentran en el entorno local o en la nube. También le interesa que los usuarios asociados puedan usar las mismas credenciales de inicio de sesión tanto para los recursos locales como para los de Microsoft Entra.
Si crea cuentas para los asociados externos en el directorio local (por ejemplo, crea una cuenta con el nombre de inicio de sesión de "msullivan" para un usuario externo llamado Maria Sullivan en el dominio partners.contoso.com), ahora puede sincronizarlas con la nube. En concreto, puede usar Microsoft Entra Connect para sincronizar las cuentas de asociados en la nube, lo que crea una cuenta de usuario con UserType = Guest. De esta manera, los usuarios asociados pueden acceder a los recursos en la nube con las mismas credenciales que las de sus cuentas locales, sin concederles más acceso del que necesitan. Para obtener más información sobre cómo convertir cuentas de invitado locales, vea Convertir cuentas de invitado locales en cuentas de invitado de Microsoft Entra B2B.
Nota:
Consulte también Invitación de usuarios internos a la colaboración B2B. Con esta característica, puede proponer a los usuarios internos invitados que usen la colaboración B2B, independientemente de si se han sincronizado sus cuentas del directorio local con la nube. Una vez que los usuarios aceptan la invitación para usar la colaboración B2B, pueden usar su propia identidad y credenciales para iniciar sesión en los recursos a los que se les da acceso. Ya no tendrá que mantener contraseñas ni administrar los ciclos de vida de la cuenta.
Identificación de atributos únicos para UserType
Antes de permitir la sincronización del atributo UserType, primero debe decidir cómo obtener el atributo UserType de Active Directory local. En otras palabras, ¿qué parámetros del entorno local son únicos para los colaboradores externos? Determine un parámetro que distinga estos colaboradores externos de los miembros de su propia organización.
Los dos enfoques comunes para ello son los siguientes:
- Designe un atributo de Active Directory local sin usar (por ejemplo, Atributodeextensión1) que se usará como el atributo de origen.
- Como alternativa, obtenga el valor del atributo UserType de otras propiedades. Por ejemplo, desea sincronizar todos los usuarios como Invitado si su atributo UserPrincipalName de Active Directory local finaliza con el dominio @partners.contoso.com.
Para conocer los requisitos detallados de atributos, consulte Habilitar la sincronización de UserType.
Configuración de Microsoft Entra Connect para sincronizar usuarios en la nube
Después de identificar el atributo único, puede configurar Microsoft Entra Connect para sincronizar estos usuarios con la nube, lo que crea cuentas de usuario con UserType = Guest. Desde un punto de vista de autorización, estos usuarios no se distinguen de los usuarios B2B creados mediante el proceso de invitación a la colaboración B2B de Microsoft Entra.
Para obtener instrucciones de implementación, consulte Habilitar la sincronización de UserType.