在外部用户身份验证中构建复原能力
Microsoft Entra B2B 协作 (Microsoft Entra B2B) 是外部标识的一项功能,可实现与其他组织和个人的协作。 该功能可让来宾用户安全地加入到 Microsoft Entra 租户中,而无需管理其凭据。 外部用户使用其外部标识提供者 (IdP) 提供的标识和凭据,因此不必记住新凭据。
对外部用户进行身份验证的方法
可以选择外部用户对目录进行身份验证的方法。 可以使用 Microsoft IdP 或其他 IdP。
对于每个外部 IdP,你都依赖于该 IdP 的可用性。 通过一些连接到 IdP 的方法,可以执行一些操作来提升复原能力。
注意
Microsoft Entra B2B 具有的内置功能可对来自任何 Microsoft Entra ID 租户或使用个人 Microsoft 帐户的任何用户进行身份验证。 不必使用这些内置选项进行任何配置。
使用其他 IdP 实现复原能力的注意事项
使用外部 IdP 进行来宾用户身份验证时,必须维护某些配置以防止中断。
| 身份验证方法 | 复原能力注意事项 |
|---|---|
| Facebook 或 Google 等社交 IDP 的联合身份验证。 | 必须通过 IdP 维护帐户,并配置客户端 ID 和客户端机密。 |
| SAML/WS-Fed 标识提供者 (IdP) 联合身份验证 | 必须与 IdP 所有者协作,以便访问其终结点(你依赖于这些终结点)。 必须维护包含证书和终结点的元数据。 |
| 电子邮件一次性密码 | 你依赖于 Microsoft 的电子邮件系统、用户的电子邮件系统和用户的电子邮件客户端。 |
自助服务注册
作为发送邀请或链接的替代方法,可以启用自助注册。 此方法使外部用户可请求访问应用程序。 必须创建 API 连接器与用户流关联。 可将定义用户体验的用户流与一款或多款应用程序相关联。
还可使用 API 连接器将自助注册用户流与外部系统的 API 集成。 此 API 集成可用于自定义审批工作流、执行身份验证和其他任务,如覆盖用户属性。 使用 API 需要管理以下依赖项。
- API 连接器身份验证:设置连接器需要终结点 URL、用户名和密码。 设置一个过程来维护这些凭据,并与 API 所有者合作,确保你了解任何过期日程安排。
- API 连接器响应:在注册流中将 API 连接器设计为在 API 不可用时正常失败。 检查这些 API 响应示例和故障排除最佳做法并提供给 API 开发人员。 与 API 开发团队合作,测试所有可能的响应场景,包括延续、验证错误和阻止响应。