Creare resilienza nell'autenticazione utente esterna
Microsoft Entra B2B Collaboration (Microsoft Entra B2B) è una funzionalità di identità esterne che consente la collaborazione con altre organizzazioni e utenti. Consente l'onboarding sicuro degli utenti guest nel tenant di Microsoft Entra senza dover gestire le credenziali. Gli utenti esterni portano l'identità e le credenziali con loro da un provider di identità esterno (IdP) in modo da non dover ricordare una nuova credenziale.
Modalità di autenticazione degli utenti esterni
È possibile scegliere i metodi di autenticazione utente esterna nella directory. È possibile usare provider di identità Microsoft o altri provider di identità.
Con ogni IdP esterno, si assume una dipendenza dalla disponibilità di tale Provider di identità. Con alcuni metodi di connessione agli IDP, è possibile eseguire operazioni per aumentare la resilienza.
Nota
Microsoft Entra B2B ha la possibilità predefinita di autenticare qualsiasi utente da qualsiasi tenant di Microsoft Entra ID o con un account Microsoft personale. Non è necessario eseguire alcuna configurazione con queste opzioni predefinite.
Considerazioni sulla resilienza con altri provider di identità
Quando si usano provider di identità esterni per l'autenticazione utente guest, è necessario mantenere configurazioni per evitare interruzioni.
Metodo di autenticazione | Considerazioni sulla resilienza |
---|---|
Federazione con provider di identità sociali come Facebook o Google. | È necessario mantenere l'account con il provider di identità e configurare l'ID client e il segreto client. |
Federazione del provider di identità SAML/WS-Fed (IdP) | È necessario collaborare con il proprietario del provider di identità per l'accesso ai relativi endpoint su cui si è dipendenti. È necessario mantenere i metadati che contengono i certificati e gli endpoint. |
Passcode monouso tramite posta elettronica | Si dipende dal sistema di posta elettronica di Microsoft, dal sistema di posta elettronica dell'utente e dal client di posta elettronica dell'utente. |
Iscrizione self-service
In alternativa all'invio di inviti o collegamenti, è possibile abilitare l'iscrizione self-service. Questo metodo consente agli utenti esterni di richiedere l'accesso a un'applicazione. È necessario creare un connettore API e associarlo a un flusso utente. Si associano i flussi utente che definiscono l'esperienza utente a una o più applicazioni.
È possibile usare i connettori API per integrare il flusso utente di iscrizione self-service con le API dei sistemi esterni. Questa integrazione api può essere usata per i flussi di lavoro di approvazione personalizzati, l'esecuzione della verifica dell'identità e altre attività, ad esempio la sovrascrittura degli attributi utente. Per usare le API è necessario gestire le dipendenze seguenti.
- Autenticazione dell'API Connessione or: la configurazione di un connettore richiede un URL dell'endpoint, un nome utente e una password. Configurare un processo in base al quale queste credenziali vengono mantenute e collaborare con il proprietario dell'API per assicurarsi di conoscere qualsiasi pianificazione di scadenza.
- Api Connessione or Response: Design API Connessione ors nel flusso di iscrizione per non riuscire correttamente se l'API non è disponibile. Esaminare e fornire agli sviluppatori di API queste risposte API di esempio e le procedure consigliate per la risoluzione dei problemi. Collaborare con il team di sviluppo dell'API per testare tutti gli scenari di risposta possibili, tra cui continuazione, errore di convalida e blocco delle risposte.
Passaggi successivi
Risorse di resilienza per amministratori e architetti
- Creare resilienza con la gestione delle credenziali
- Creare resilienza con gli stati del dispositivo
- Creare resilienza usando la valutazione dell'accesso continuo (CAE)
- Creare resilienza nell'autenticazione ibrida
- Creare resilienza nell'accesso alle applicazioni con il proxy di applicazione