Collaborare usando account guest e Microsoft Entra B2B
Si vuole che il team esterno collabori con il team di sviluppo interno in un processo semplice e sicuro. Con Microsoft Entra B2B è possibile aggiungere persone di altre aziende al proprio tenant di Microsoft Entra come utenti guest.
Se l'organizzazione ha più tenant di Microsoft Entra, è possibile usare Microsoft Entra B2B anche per concedere a un utente nel tenant A l'accesso alle risorse del tenant B. Ogni tenant di Microsoft Entra è distinto e separato dagli altri tenant di Microsoft Entra e ha una propria rappresentazione di identità e registrazioni di app.
Accesso utente guest in Microsoft Entra B2B
In uno scenario in cui alcuni utenti esterni hanno la necessità di accedere temporaneamente o in modo limitato alle risorse dell'organizzazione, concedere a tali utenti l'accesso utente guest. È possibile concedere all'utente guest l'accesso con le restrizioni appropriate, quindi rimuovere l'accesso al termine della collaborazione.
Per invitare gli utenti in Collaborazione B2B, è possibile usare il portale di Azure. Invitare gli utenti guest in Microsoft Entra a livello di organizzazione, gruppo o applicazione. Dopo l'invito, gli account degli utenti interessati vengono aggiunti a Microsoft Entra ID come account guest.
L'utente guest può ottenere l'invito tramite posta elettronica oppure è possibile condividere l'invito a un'applicazione usando un collegamento diretto. L'utente guest riscatta quindi il proprio invito per accedere alle risorse.
Per impostazione predefinita, gli utenti e gli amministratori in Microsoft Entra ID possono invitare utenti guest, ma l'amministratore globale può limitare o disabilitare questa funzionalità.
Collaborare con i partner usando le identità
Se l'organizzazione deve gestire le identità di ogni utente guest esterno appartenente a un'organizzazione partner specifica, deve affrontare maggiori responsabilità, in quanto deve proteggere tali identità. aumentando il carico di lavoro con le relative attività di gestione e amministrazione. Deve anche sincronizzare gli account, gestire il ciclo di vita di ognuno di questi e tenere traccia di ogni singolo account esterno per rispettare gli obblighi. L'organizzazione deve seguire questa procedura per tutte le organizzazioni partner con cui vuole collaborare. Oltre a ciò, in caso di problemi con questi account, l'organizzazione è ritenuta responsabile.
Con Microsoft Entra B2B non è necessario gestire le identità degli utenti esterni. La responsabilità della gestione di tali identità, infatti, ricade sui partner a cui appartengono. Durante la collaborazione con l'organizzazione, gli utenti esterni continuano a usare la propria identità.
Si supponga ad esempio di collaborare con il partner esterno Giovanna Carvalho di Proseware. L'identità di Giovanna viene gestita come gcarvalho@proseware.com dalla sua organizzazione, Questa identità viene usata per l'account guest nel servizio Microsoft Entra ID dell’organizzazione. Dopo aver riscattato l'invito per l'account guest, Giovanna usa la stessa identità (nome e password) dell'account che usa nella sua organizzazione.
Perché usare Microsoft Entra B2B invece della federazione?
Con Microsoft Entra B2B non ci si deve assumere la responsabilità di gestire e autenticare le credenziali e le identità dei partner. I partner possono collaborare con l'organizzazione anche se non hanno un reparto IT. È ad esempio possibile collaborare con un terzista che ha solo un indirizzo di posta elettronica personale o aziendale e nessuna soluzione di gestione delle identità gestita da un reparto IT.
Concedere l'accesso agli utenti esterni è molto più semplice rispetto a una federazione. Per creare e gestire gli account degli utenti esterni non è necessario un amministratore di Active Directory. Qualsiasi utente autorizzato può invitare altri utenti. Un manager di linea può, ad esempio, invitare utenti esterni a collaborare con il proprio team. Quando la collaborazione non è più necessaria, gli utenti esterni possono essere rimossi con facilità.
Una federazione è più complessa. Richiede infatti di stabilire una relazione di trust con un'altra organizzazione o con una raccolta di domini per l'accesso condiviso a un set di risorse. È possibile che si stia usando un provider di identità locale e un servizio di autorizzazione come Active Directory Federation Services (AD FS), che ha una relazione di trust con Microsoft Entra ID. Per ottenere l'accesso alle risorse, tutti gli utenti devono specificare le credenziali ed eseguire l'autenticazione con il server AD FS. Se un utente al di fuori della rete interna deve eseguire l'autenticazione, è necessario configurare Proxy applicazione Web con un'architettura simile al diagramma seguente:
Una federazione locale con Microsoft Entra ID può essere utile se l'organizzazione vuole che l’intera procedura di autenticazione alle risorse di Azure venga eseguita nell'ambiente locale. Gli amministratori possono implementare livelli più rigorosi di controllo di accesso, ma ciò significa che se l'ambiente locale è inattivo, gli utenti non potranno accedere alle risorse e ai servizi di Azure necessari.
Con una collaborazione B2B, i team esterni ottengono l'accesso alle risorse e ai servizi di Azure di cui hanno bisogno con le autorizzazioni appropriate. Non è necessario creare una federazione e stabilire una relazione di trust e l'autenticazione non dipende da un server locale, ma avviene direttamente tramite Azure. La collaborazione diventa più semplice e non è necessario preoccuparsi di situazioni in cui gli utenti non riescono ad accedere perché una directory locale non è disponibile.