Предоставление локально управляемым партнерским учетным записям доступа к облачным ресурсам через службу совместной работы Azure Active Directory B2B

До появления Azure Active Directory (AAD) организации, которые использовали локальные системы управления удостоверениями, как правило, включали управляемые учетные записи для всех партнеров в локальный каталог. При переносе приложений из такой среды в AAD необходимо сохранить доступ партнеров ко всем используемым ими ресурсам. Расположение этих ресурсов (локально или в облаке) не должно иметь никакого значения. Также будет удобно, если партнеры смогут использовать одинаковые учетные данные для доступа к локальным ресурсам и к AAD.

Если вы создали в локальном каталоге учетные записи для внешних партнеров (например, учетную запись wmoran для внешнего пользователя Wendy Moran в домене partners.contoso.com), вы сможете теперь синхронизировать такие учетные записи в облако. В частности, вы можете использовать службу Azure AD Connect для синхронизации партнерских учетных записей с облаком, при этом будет создана учетная запись, у которой атрибут UserType имеет значение Guest. Так вы разрешите партнерам обращаться к облачным ресурсам с теми же учетными данными, которые они используют локально, предоставляя им только требуемые для этого права доступа.

Примечание

См. также, как пригласить внутренних пользователей к совместной работе B2B. С помощью этой функции можно пригласить внутренних пользователей с правами гостя к совместной работе B2B независимо от того, синхронизированы ли эти учетные записи из локального каталога с облаком. После того как пользователь примет приглашение к совместной работе B2B, он сможет использовать свои удостоверения и учетные данные для доступа к разрешенным ресурсам. Вам не нужно сохранять пароли или управлять жизненным циклом учетных записей.

Определение уникальных атрибутов для UserType

Перед включением синхронизации атрибута UserType необходимо решить, каким образом этот атрибут будет получен из локальной службы Active Directory. Другими словами, какие параметры в локальной среде являются уникальными для внешних участников совместной работы? Определите параметр, который позволяет отличить этих участников от членов вашей организации.

Для этого существуют два распространенных подхода.

  • Назначьте неиспользуемый локальный атрибут Active Directory (например, extensionAttribute1) в качестве исходного атрибута.
  • Кроме того, можно получить значение атрибута UserType из других свойств. Например, можно синхронизировать всех пользователей с правами гостя, если их локальный атрибут Active Directory UserPrincipalName заканчивается доменом @partners.contoso.com.

Подробные требования к атрибутам приведены в разделе Включение синхронизации атрибута UserType.

Настройка Azure AD Connect для синхронизации пользователей с облаком

После определения уникального атрибута можно настроить Azure AD Connect для синхронизации этих пользователей с облаком, при этом будут созданы учетные записи с атрибутом UserType и значением Guest. С точки зрения процесса авторизации эти пользователи будут неотличимы от пользователей B2B, созданных с помощью процесса приглашения в службу совместной работы Azure AD B2B.

Инструкции по реализации приведены в разделе Включение синхронизации атрибута UserType.

Дальнейшие действия