Azure AD’de B2B kullanıcılarına şirket içi uygulamalarınıza erişim verme

İş ortağı kuruluşlarından Azure AD'nize konuk kullanıcıları davet etmek için Azure Active Directory (Azure AD) B2B işbirliği özelliklerini kullanan bir kuruluş olarak, artık bu B2B kullanıcılarına şirket içi uygulamalara erişim sabilirsiniz. Bu şirket içi uygulamalar, Kerberos kısıtlanmış temsilci (KCD) ile SAML tabanlı kimlik doğrulaması veya tümleşik Windows kimlik doğrulaması (IWA) kullanabilir.

SAML uygulamalarına erişim

Şirket içi uygulamanız SAML tabanlı kimlik doğrulaması kullanıyorsa, azure AD kimlik doğrulamasını kullanarak bu uygulamaları Azure AD B2B işbirliği kullanıcılarının kullanımına Azure portal kolayca Uygulama Ara Sunucusu.

Şunları gerçekleştirin:

Yukarıdaki adımları tamamlandıktan sonra, uygulamanın çalışıyor olması gerekir. Azure AD B2B erişimini test etmek için:

  1. Bir tarayıcı açın ve uygulamayı yayımlarken oluşturduğunuz dış URL'ye gidin.
  2. Uygulamaya atadınız Azure AD B2B hesabıyla oturum açın. Uygulamayı açıp çoklu oturum açma ile erişebilirsiniz.

IWA ve KCD uygulamalarına erişim

B2B kullanıcılarına tümleşik kimlik doğrulaması ve Kerberos kısıtlanmış temsilci seçme ile güvenliği Windows şirket içi uygulamalara erişim sağlamak için aşağıdaki bileşenlere ihtiyacınız vardır:

  • Azure AD ile kimlik Uygulama Ara Sunucusu. B2B kullanıcılarının şirket içi uygulamada kimlik doğrulaması yapmaları gerekir. Bunu yapmak için şirket içi uygulamayı Azure AD Uygulama Ara Sunucusu. Daha fazla bilgi için bkz. Öğretici: Uygulama Ara Sunucusuaracılığıyla uzaktan erişim için şirket içi uygulama ekleme.

  • Şirket içi dizininde B2B kullanıcı nesnesi aracılığıyla yetkilendirme. Uygulamanın kullanıcı erişim denetimleri gerçekleştirip doğru kaynaklara erişim izni ver de olması gerekir. IWA ve KCD, bu yetkilendirmeyi tamamlamak için şirket içi Windows Server Active Directory kullanıcı nesnesi gerektirir. KCD ile çokluoturum açma nasıl çalışır? konusunda açıklandığı gibi, Uygulama Ara Sunucusu kullanıcının kimliğine bürünmek ve uygulamaya bir Kerberos belirteci almak için bu kullanıcı nesnesine ihtiyaç vardır.

    Not

    Azure AD oturum açma Uygulama Ara Sunucusu, tümleşik oturum açma kimlik doğrulaması (IWA) için çoklu oturum açma yapılandırmasında Kullanıcı asıl adı (varsayılan) olarak Windows emin olun.

    B2B kullanıcı senaryosunda, şirket içi dizinde yetkilendirme için gereken konuk kullanıcı nesnelerini oluşturmak için kullanabileceğiniz iki yöntem vardır:

    • Microsoft Identity Manager (MIM) ve Microsoft MIM için MIM yönetim aracısı Graph.
    • Daha basit bir çözüm olan ve daha basit bir çözüm olan PowerShell betiği, MIM.

Aşağıdaki diyagramda, Azure AD Uygulama Ara Sunucusu'nin ve şirket içi dizinde B2B kullanıcı nesnesinin neslinin birlikte çalışmasına ve B2B kullanıcılarına şirket içi IWA ve KCD uygulamalarınıza erişim izni vermek için nasıl üst düzey bir genel bakış sağladığını gösterir. Numaralı adımlar diyagramın altında ayrıntılı olarak açıklanmıştır.

Diagram of MIM and B2B script solutions

  1. İş ortağı kuruluşundan (Fabrikam kiracısı) bir kullanıcı Contoso kiracısına davet edilir.
  2. Contoso kiracısı içinde bir konuk kullanıcı nesnesi oluşturulur (örneğin, kullanıcı upN'sini guest_fabrikam.com#EXT#@contoso.onmicrosoft.com).
  3. Fabrikam konuğu, B2B PowerShell MIM aracılığıyla Contoso'dan içe aktarılır.
  4. Fabrikam konuk kullanıcı nesnesinin (Guest#EXT#) gösterimi veya "ayak izi", Contoso.com, MIM veya B2B PowerShell betiği aracılığıyla şirket içi dizinde oluşturulur.
  5. Konuk kullanıcı şirket içi uygulamaya app.contoso.com.
  6. Kimlik doğrulama isteği, Kerberos kısıtlanmış Uygulama Ara Sunucusu kullanılarak kimlik doğrulaması aracılığıyla yetkilendirilmiştir.
  7. Konuk kullanıcı nesnesi yerel olarak mevcut olduğundan kimlik doğrulaması başarılı olur.

Yaşam döngüsü yönetimi ilkeleri

Yaşam döngüsü yönetimi ilkeleri aracılığıyla şirket içi B2B kullanıcı nesnelerini yönetebilirsiniz. Örneğin:

  • Konuk kullanıcı için çok faktörlü kimlik doğrulaması (MFA) ilkelerini, MFA'nın kimlik doğrulaması sırasında Uygulama Ara Sunucusu kurarak. Daha fazla bilgi için bkz. B2B işbirliği kullanıcıları için Koşullu Erişim.
  • Bulut B2B kullanıcısı üzerinde gerçekleştirilen tüm sponsorluklar, erişim gözden incelemeleri, hesap doğrulamaları vb. şirket içi kullanıcılar için geçerlidir. Örneğin, bulut kullanıcısı yaşam döngüsü yönetim ilkeleriniz aracılığıyla silinirse, şirket içi kullanıcı MIM Sync veya Azure AD Bağlan eşitleme yoluyla da silinir. Daha fazla bilgi için bkz. Azure AD erişim incelemeleriyle konuk erişimini yönetme.

MIM aracılığıyla B2B konuk kullanıcı nesneleri MIM

Şirket içi dizinde konuk kullanıcı nesneleri oluşturmak üzere microsoft Graph için MIM 2016 Service Pack 1 ve MIM yönetim aracısını kullanma hakkında bilgi için bkz. Azure Uygulama Ara Sunucusu ile Microsoft Identity Manager (MIM) SP1 ile Azure AD işletmelerden işletmeye (B2B)işbirliği.

Lisansla ilgili dikkat edilmesi gerekenler

Şirket içi uygulamalara erişen dış konuk kullanıcılar için doğru İstemci Erişim Lisanslarına (CA'lar) sahip olduğundan emin olun. Daha fazla bilgi için İstemci Erişim Lisansları ve Yönetim Lisansları'nın "Dış Bağlayıcılar" bölümüne bakın. Belirli lisanslama ihtiyaçlarıyla ilgili olarak Microsoft temsilcinize veya yerel satıcınıza başvurun.

Sonraki adımlar