Topologie per la collaborazione tra tenant
Le organizzazioni spesso si trovano a gestire più tenant a causa di fusioni e acquisizioni, requisiti normativi o limiti amministrativi. Indipendentemente dallo scenario, Microsoft Entra offre una soluzione flessibile e pronta all'uso per il provisioning degli account tra tenant e facilitare la collaborazione senza problemi. Microsoft Entra supporta i tre modelli seguenti e può adattarsi alle esigenze aziendali in continua evoluzione.
- Hub-spoke
- Mesh
- Jit
Hub-spoke
La topologia hub-spoke presenta due modelli comuni:
Opzione 1 (hub applicazioni): in questa opzione è possibile integrare le applicazioni usate comunemente in un tenant hub centrale a cui gli utenti di tutta l'organizzazione possono accedere.
Opzione 2 (hub utente): in alternativa, l'opzione 2 centralizza tutti gli utenti in un singolo tenant ed effettua il provisioning in tenant spoke in cui vengono gestite le risorse.
Esaminiamo alcuni scenari reali e vediamo come si allineano a ognuno di questi modelli.
Fusioni e acquisizioni (hub applicazioni)
Durante le fusioni e le acquisizioni, la capacità di abilitare rapidamente la collaborazione è fondamentale, consentendo alle aziende di funzionare in modo coesivo mentre vengono prese decisioni IT complesse. Ad esempio, quando i dipendenti di una società appena acquisita necessitano di accesso immediato alle applicazioni, ad esempio il sistema di ticketing dell'help desk interno o l'applicazione dei vantaggi, la sincronizzazione tra tenant dimostra un valore prezioso. Questo processo di sincronizzazione consente agli utenti dell'azienda acquisita di eseguire il provisioning nell'hub applicazioni dal primo giorno, concedendole l'accesso alle app SaaS, alle applicazioni locali e ad altre risorse cloud. All'interno del tenant di destinazione, gli amministratori possono configurare pacchetti di accesso per concedere l'accesso limitato al tempo a applicazioni aggiuntive, ad esempio Salesforce e Amazon Web Services che contengono dati aziendali critici. Il diagramma seguente mostra i tenant acquisiti di recente a sinistra e il provisioning degli utenti nel tenant della società padre, che concede agli utenti l'accesso alle risorse necessarie.
Separare i tenant di collaborazione e risorse (hub utenti)
Man mano che le organizzazioni ridimensionano l'utilizzo di Azure, spesso creano tenant dedicati per la gestione delle risorse critiche di Azure. Nel frattempo, si basano su un tenant hub centrale per il provisioning utenti. Questo modello consente agli amministratori nel tenant hub di stabilire criteri di sicurezza e governance centralizzati, concedendo ai team di sviluppo maggiore autonomia e agilità per distribuire le risorse di Azure necessarie. La sincronizzazione tra tenant supporta questa topologia consentendo agli amministratori di effettuare il provisioning di un subset di utenti nei tenant spoke e di gestire il ciclo di vita di tali utenti.
Mesh
Mentre alcune aziende centralizzano gli utenti all'interno di un singolo tenant, altre hanno una struttura più decentralizzata con applicazioni, sistemi HR e domini di Active Directory integrati in ogni tenant. La sincronizzazione tra tenant offre la flessibilità necessaria per scegliere gli utenti di cui viene effettuato il provisioning in ogni tenant.
Collaborare all'interno di una società di portfolio (mesh parziale)
In questo scenario, ogni tenant rappresenta una società diversa all'interno della stessa organizzazione padre. Amministrazione istrator in ogni tenant scegliere un subset di utenti di cui eseguire il provisioning nel tenant di destinazione. Questa soluzione offre flessibilità per il funzionamento indipendente di ogni tenant, semplificando al contempo la collaborazione quando gli utenti devono accedere alle risorse critiche.
La sincronizzazione tra tenant è unidirezionale. Un utente membro interno può essere sincronizzato in più tenant come utente esterno. Quando la topologia mostra una sincronizzazione in entrambe le direzioni, si tratta di un set distinto di utenti in ogni direzione e ogni freccia è una configurazione separata.
Collaborare tra business unit (mesh completa)
In questo scenario, l'organizzazione ha designato tenant diversi per ogni business unit. Le business unit interagiscono a stretto contatto, in particolare usando Microsoft Teams. Di conseguenza, ogni tenant ha scelto di effettuare il provisioning di tutti gli utenti nei quattro tenant dell'organizzazione. Man mano che i nuovi utenti si uniscono alla società o lasciano, il servizio di provisioning si occupa della creazione e dell'eliminazione degli utenti. L'organizzazione ha configurato anche un'organizzazione multi-tenant che include tutti e quattro i tenant. Ora, quando gli utenti devono collaborare in Teams, possono trovare facilmente gli utenti nell'azienda e avviare chat e riunioni con tali utenti.
Jit
Anche se gli scenari illustrati finora coprono la collaborazione all'interno di un'organizzazione, esistono casi in cui la collaborazione tra organizzazioni è fondamentale. Questo potrebbe essere nel contesto di joint venture o organizzazioni di persone giuridiche indipendenti. Usando le organizzazioni connesse e la gestione entitlement, è possibile definire criteri per l'accesso alle risorse tra organizzazioni connesse e consentire agli utenti di richiedere l'accesso alle risorse necessarie.
Joint ventures
Prendere in considerazione Contoso e Litware, organizzazioni separate coinvolte in una joint venture multi-anno. Devono collaborare a stretto contatto. Amministrazione istrator in Contoso hanno definito pacchetti di accesso contenenti le risorse richieste dagli utenti litware. Quando un nuovo dipendente Litware deve accedere alle risorse di Contoso, può richiedere l'accesso al pacchetto di accesso. Dopo l'approvazione, viene effettuato il provisioning con le risorse necessarie. L'accesso può essere limitato al tempo e soggetto a una revisione periodica per garantire la conformità ai requisiti di governance di Contoso.
Il diagramma seguente illustra come due organizzazioni possono collaborare just-in-time usando le organizzazioni connesse e la gestione entitlement.
