Resgate do convite de colaboração do Azure Active Directory B2BAzure Active Directory B2B collaboration invitation redemption

Este artigo descreve como os usuários convidados podem acessar seus recursos e o processo de consentimento que eles percorrerão.This article describes the ways guest users can access your resources and the consent process they'll encounter. Se você enviar um email de convite ao convidado, ele incluirá um link que o convidado pode resgatar para obter acesso ao seu aplicativo ou portal.If you send an invitation email to the guest, the invitation includes a link the guest can redeem to get access to your app or portal. O email de convite é apenas uma das maneiras que os convidados podem usar para obter acesso aos seus recursos.The invitation email is just one of the ways guests can get access to your resources. Como alternativa, você pode adicionar convidados ao seu diretório e fornecer a eles um link direto para o portal ou aplicativo que deseja compartilhar.As an alternative, you can add guests to your directory and give them a direct link to the portal or app you want to share. Independentemente do método usado, os convidados são guiados durante o processo de consentimento pela primeira vez.Regardless of the method they use, guests are guided through a first-time consent process. Esse processo faz com que seus convidados aceitem os termos de privacidade e eventuais termos de uso que você tenha configurado.This process ensures that your guests agree to privacy terms and accept any terms of use you've set up.

Quando você adiciona um usuário convidado ao seu diretório, a conta de usuário convidado tem um status de consentimento (visível no PowerShell) que é inicialmente definido como PendingAcceptance.When you add a guest user to your directory, the guest user account has a consent status (viewable in PowerShell) that’s initially set to PendingAcceptance. Essa configuração permanece até que o convidado aceite seu convite e concorde com a política de privacidade e os termos de uso.This setting remains until the guest accepts your invitation and agrees to your privacy policy and terms of use. Depois disso, o status de consentimento muda para Accepted e as páginas de consentimento não são mais apresentadas ao convidado.After that, the consent status changes to Accepted, and the consent pages are no longer presented to the guest.

Importante

Resgate por meio de email de conviteRedemption through the invitation email

Quando você adiciona um usuário convidado ao seu diretório por meio do portal do Azure, ele recebe um email de convite no processo.When you add a guest user to your directory by using the Azure portal, an invitation email is sent to the guest in the process. Você também pode optar por enviar emails de convite quando usa o PowerShell para adicionar usuários convidados ao seu diretório.You can also choose to send invitation emails when you’re using PowerShell to add guest users to your directory. Aqui está uma descrição da experiência do convidado ao resgatar o link no email.Here’s a description of the guest’s experience when they redeem the link in the email.

  1. O convidado recebe um email de convite enviado pelo Microsoft Invitations.The guest receives an invitation email that's sent from Microsoft Invitations.
  2. Ele seleciona Aceitar o convite no email.The guest selects Accept invitation in the email.
  3. O convidado usará suas próprias credenciais para entrar no seu diretório.The guest will use their own credentials to sign in to your directory. Se ele não tiver uma conta que possa ser federada para o seu diretório e o recurso enviar senha de uso único por email (OTP) não estiver habilitado; o convidado precisará criar uma MSA pessoal ou uma conta de autoatendimento do Azure AD.If the guest does not have an account that can be federated to your directory and the email one-time passcode (OTP) feature is not enabled; the guest is prompted to create a personal MSA or an Azure AD self-service account. Consulte o fluxo de resgate de convite para obter detalhes.Refer to the invitation redemption flow for details.
  4. O convidado é guiado pela experiência de consentimento descrita abaixo.The guest is guided through the consent experience described below.

Como alternativa ao email de convite, você pode oferecer a um convidado um link direto para seu aplicativo ou portal.As an alternative to the invitation email, you can give a guest a direct link to your app or portal. Primeiro, você precisa adicionar o usuário convidado ao seu diretório por meio do portal do Azure ou do PowerShell.You first need to add the guest user to your directory via the Azure portal or PowerShell. Em seguida, você pode usar qualquer uma das formas de personalização da implantação de aplicativos para usuários, incluindo links de logon diretos.Then you can use any of the customizable ways to deploy applications to users, including direct sign-on links. Quando um convidado usa um link direto em vez do email de convite, ele é igualmente guiado pela experiência de consentimento na primeira vez.When a guest uses a direct link instead of the invitation email, they’ll still be guided through the first-time consent experience.

Importante

O link direto deve ser específico ao locatário.The direct link must be tenant-specific. Em outras palavras, ele deve incluir uma ID de locatário ou um domínio verificado para que o convidado possa ser autenticado em seu locatário, que é onde o aplicativo compartilhado está localizado.In other words, it must include a tenant ID or verified domain so the guest can be authenticated in your tenant, where the shared app is located. Uma URL comum como https://myapps.microsoft.com não funciona para um convidado porque ele é redirecionado ao seu locatário inicial para autenticação.A common URL like https://myapps.microsoft.com won’t work for a guest because it will redirect to their home tenant for authentication. Veja alguns exemplos de links diretos com o contexto do locatário:Here are some examples of direct links with tenant context:

  • Painel de acesso aos aplicativos: https://myapps.microsoft.com/?tenantid=<tenant id>Apps access panel: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Painel de acesso aos aplicativos para um domínio verificado: https://myapps.microsoft.com/<;verified domain>Apps access panel for a verified domain: https://myapps.microsoft.com/<;verified domain>
  • Portal do Azure: https://portal.azure.com/<tenant id>Azure portal: https://portal.azure.com/<tenant id>
  • Aplicativo individual: confira como usar um link de logon diretoIndividual app: see how to use a direct sign-on link

Em alguns casos, recomendamos o email de convite em vez de um link direto.There are some cases where the invitation email is recommended over a direct link. Se esses casos especiais forem importantes para sua organização, recomendamos que você convide usuários usando métodos que ainda enviam emails de convite:If these special cases are important to your organization, we recommend that you invite users by using methods that still send the invitation email:

  • O usuário não tem uma conta do Azure AD, uma MSA ou uma conta de email em uma organização federada.The user doesn’t have an Azure AD account, an MSA, or an email account in a federated organization. A menos que você esteja usando o recurso de senha de uso único, o convidado precisará resgatar o email de convite para ser guiado pelas etapas de criação de uma MSA.Unless you're using the one-time passcode feature, the guest needs to redeem the invitation email to be guided through the steps for creating an MSA.
  • Às vezes, o objeto de usuário convidado não pode ter um endereço de email devido a um conflito com um objeto de contato (por exemplo, um objeto de contato Outlook).Sometimes the invited user object may not have an email address because of a conflict with a contact object (for example, an Outlook contact object). Nesse caso, o usuário deve clicar na URL de resgate no email de convite.In this case, the user must click the redemption URL in the invitation email.
  • O usuário pode entrar com um alias do endereço de email que foi convidado.The user may sign in with an alias of the email address that was invited. (Um alias é um endereço de email adicional associado a uma conta de email.) Nesse caso, o usuário deve clicar na URL de resgate no email de convite.(An alias is an additional email address associated with an email account.) In this case, the user must click the redemption URL in the invitation email.

Fluxo de resgate de conviteInvitation redemption flow

Quando um usuário clica no link Aceitar convite em um email de convite, o Azure AD resgata o convite automaticamente com base no fluxo de resgate, conforme mostrado abaixo:When a user clicks the Accept invitation link in an invitation email, Azure AD automatically redeems the invitation based on the redemption flow as shown below:

Captura de tela que mostra o diagrama de fluxo de resgate

*Se o nome UPN do usuário corresponder a uma conta do Azure AD e de MSA pessoal, o usuário será solicitado a escolher a conta que deseja resgatar.*If the user’s User principle name (UPN) matches with both an existing Azure AD and personal MSA account, the user will be prompted to choose which account they want to redeem with.

  1. O Azure AD executa a descoberta baseada no usuário para determinar se ele existe em um locatário do Azure AD.Azure AD performs user-based discovery to determine if the user exists in an existing Azure AD tenant.

  2. Se um administrador tiver habilitado federação direta, o Azure AD verificará se o sufixo de domínio do usuário corresponde ao domínio de um provedor de identidade SAML/WS-FED configurado e redirecionará o usuário para o provedor de identidade pré-configurado.If an admin has enabled direct federation, Azure AD checks if the user’s domain suffix matches the domain of a configured SAML/WS-Fed identity provider and redirects the user to the pre-configured identity provider.

  3. Se um administrador tiver habilitado a federação com o Google, o Azure AD verificará se o sufixo de domínio do usuário é gmail.com ou googlemail.com e redirecionará o usuário para o Google.If an admin has enabled Google federation, Azure AD checks if the user’s domain suffix is gmail.com or googlemail.com and redirects the user to Google.

  4. O processo de resgate verifica se o usuário já tem uma MSA (conta Microsoft).The redemption process checks if the user has an existing personal Microsoft account (MSA).

  5. Depois que o diretório base do usuário for identificado, ele será enviado ao provedor de identidade correspondente para se conectar.Once the user’s home directory is identified, the user is sent to the corresponding identity provider to sign in.

  6. Se as etapas 1 a 4 não localizarem um diretório base para o usuário convidado, o Azure AD determinará se o locatário que ele está convidando habilitou o recurso Enviar OTP (senha de uso único) por email para convidados.If steps 1 to 4 fail to find a home directory for the invited user, then Azure AD determines whether the inviting tenant has enabled the email one-time passcode (OTP) feature for guests.

  7. Se a opção Enviar senha de uso único para convidados por email estiver habilitada, uma senha será enviada ao usuário pelo email convidado.If email one-time passcode for guests is enabled, a passcode is sent to the user through the invited email. O usuário vai recuperar e inserir essa senha na página de entrada do Azure AD.The user will retrieve and enter this passcode in the Azure AD sign-in page.

  8. Se o email de senha de uso único para convidados estiver desabilitado, o Azure AD verificará o sufixo de domínio para determinar se ele pertence a uma conta de consumidor.If email one-time passcode for guests is disabled, Azure AD checks the domain suffix to determine if it belongs to a consumer account. Nesse caso, será solicitado que o usuário crie uma conta Microsoft pessoal.If so, the user is prompted to create a personal Microsoft account. Caso contrário, o usuário será solicitado a criar uma conta de autoatendimento do Azure AD.If not, the user is prompted to create an Azure AD self-service account.

  9. O Azure AD tenta criar uma conta de autoatendimento do Azure AD com a verificação do acesso ao email.Azure AD attempts to create an Azure AD self-service account by verifying access to the email. A verificação da conta é feita como envio de um código por email e instruções para que o usuário a recupere e envie ao Azure AD.Verifying the account is done by sending a code to the email, and having the user retrieve and submit it to Azure AD. No entanto, se o locatário do usuário convidado for federado ou se o campo AllowEmailVerifiedUsers for definido como false no locatário do usuário convidado, ele não poderá concluir o resgate e o fluxo resultará em erro.However, if the invited user’s tenant is federated or if the AllowEmailVerifiedUsers field is set to false in the invited user’s tenant, the user is unable to complete the redemption and the flow results in an error. Para obter mais informações, confira Solução de problemas de colaboração B2B do Azure Active Directory.For more information, see Troubleshooting Azure Active Directory B2B collaboration.

  10. O usuário precisará criar uma conta MSA (Microsoft) pessoal.The user is prompted to create a personal Microsoft account (MSA).

  11. Após a autenticação no provedor de identidade correto, o usuário é redirecionado para o Azure AD a fim de concluir a experiência de consentimento.After authenticating to the right identity provider, the user is redirected to Azure AD to complete the consent experience.

Em resgates JIT (just-in-time), feitos por meio de um link de aplicativo locatário, as etapas 8 a 10 não estão disponíveis.For just-in-time (JIT) redemptions, where redemption is through a tenanted application link, steps 8 through 10 are not available. Se um usuário chegar à etapa 6 e o recurso de envio de senha de uso único por email não estiver habilitado, o usuário receberá uma mensagem de erro e não poderá resgatar o convite.If a user reaches step 6 and the Email one-time passcode feature is not enabled, the user receives an error message and is unable to redeem the invitation. Para evitar esse erro, os administradores devem habilitar o envio de senha de uso único por email ou fazer com que o usuário clique em um link de convite.To prevent this error, admins should either enable email one-time passcode or ensure the user clicks an invitation link.

Quando um convidado entra para acessar recursos em uma organização parceira pela primeira vez, ele é guiado pelas páginas seguintes.When a guest signs in to access resources in a partner organization for the first time, they're guided through the following pages.

  1. O convidado analisa a página Analisar permissões que descreve a política de privacidade da organização que está fazendo o convite.The guest reviews the Review permissions page describing the inviting organization's privacy statement. Um usuário precisa aceitar o uso de suas informações de acordo com as políticas de privacidade da organização que está fazendo o convite para continuar.A user must Accept the use of their information in accordance to the inviting organization's privacy policies to continue.

    Captura de tela mostrando a página Analisar as permissões

    Observação

    Para obter informações sobre como você, como administrador de locatários, pode fornecer um link para a política de privacidade de sua organização, confira Como: Adicionar informações de privacidade de sua organização ao Azure Active Directory.For information about how you as a tenant administrator can link to your organization's privacy statement, see How-to: Add your organization's privacy info in Azure Active Directory.

  2. Se os termos de uso estiverem configurados, o convidado abrirá e analisará os termos de uso para depois selecionar Aceitar.If terms of use are configured, the guest opens and reviews the terms of use, and then selects Accept.

    Captura de tela mostrando os novos termos de uso

    Você pode configurar os termos de uso em Identidades Externas > Termos de uso.You can configure terms of use in External Identities > Terms of use.

  3. Se não houver especificação em contrário, o convidado será redirecionado para o painel de acesso Aplicativos, que lista os aplicativos que o convidado pode acessar.Unless otherwise specified, the guest is redirected to the Apps access panel, which lists the applications the guest can access.

    Captura de tela que mostra o painel de acesso Aplicativos

No seu diretório, o valor de Convite aceito do convidado muda para Sim.In your directory, the guest's Invitation accepted value changes to Yes. Se uma MSA foi criada, a Origem do convidado aparece como Conta Microsoft.If an MSA was created, the guest’s Source shows Microsoft Account. Para obter mais informações sobre as propriedades de conta de usuário convidado, confira Propriedades de um usuário de colaboração B2B do Azure AD.For more information about guest user account properties, see Properties of an Azure AD B2B collaboration user.

Próximas etapasNext steps