Creare la resilienza nell'autenticazione degli utenti esterni
Collaborazione B2B Microsoft Entra (Microsoft Entra B2B) è una funzionalità di Identità esterne che consente la collaborazione con altre organizzazioni e utenti. Consente l'onboarding sicuro degli utenti guest nel tenant di Microsoft Entra senza dover gestire le credenziali. Gli utenti esterni portano con sé la propria identità e le proprie credenziali da un provider di identità esterno (IdP), in modo da non dover ricordare una nuova credenziale.
Modalità di autenticazione degli utenti esterni
È possibile scegliere i metodi di autenticazione degli utenti esterni nella directory. È possibile usare provider di identità Microsoft o altri provider di identità.
Con ogni provider di identità esterno, si assume una dipendenza dalla disponibilità di tale provider di identità. Con alcuni metodi di connessione ai provider di identità, è possibile eseguire operazioni per aumentare la resilienza.
Nota
Microsoft Entra B2B ha la capacità predefinita di autenticare qualsiasi utente da qualsiasi tenant di Microsoft Entra ID o con un account Microsoft personale. Non è necessario eseguire alcuna configurazione con queste opzioni predefinite.
Considerazioni sulla resilienza con altri provider di identità
Quando si usano provider di identità esterni per l'autenticazione degli utente guest, è necessario mantenere configurazioni per evitare interruzioni.
| Metodo di autenticazione | Considerazioni sulla resilienza |
|---|---|
| Federazione con provider di identità di social networking come Facebook o Google. | È necessario mantenere il proprio account presso il provider di identità e configurare il proprio ID client e il segreto client. |
| Federazione del provider di identità SAML/WS-Fed (IdP) | È necessario collaborare con il proprietario del provider di identità per l'accesso ai relativi endpoint su cui si è dipendenti. È necessario mantenere i metadati che contengono i certificati e gli endpoint. |
| Passcode monouso tramite e-mail | Si dipende dal sistema e-mail di Microsoft, dal sistema e-mail dell'utente e dal client di e-mail dell'utente. |
Iscrizione self-service
In alternativa all'invio di inviti o collegamenti, è possibile abilitare Iscrizione self-service. Questo metodo consente agli utenti esterni di richiedere l'accesso a un'applicazione. È necessario creare un connettore API e associarlo a un flusso utente. Si associano i flussi utente che definiscono l'esperienza utente a una o più applicazioni.
È possibile usare connettori API per integrare il flusso utente di iscrizione self-service con le API dei sistemi esterni. Questa integrazione API può essere usata per i flussi di lavoro di approvazione personalizzati, l'esecuzione della verifica dell'identitàe altre attività, ad esempio la sovrascrittura degli attributi utente. Per usare le API è necessario gestire le dipendenze seguenti.
- Autenticazione del connettore API: la configurazione di un connettore richiede un URL dell'endpoint, un nome utente e una password. Configurare un processo in base al quale queste credenziali vengono mantenute e collaborare con il proprietario dell'API per assicurarsi di conoscere i tempi di scadenza.
- API Connector Response: Progettare connettori API nel flusso di iscrizione in modo da avere esito negativo se l'API non è disponibile. Esaminare e fornire agli sviluppatori di API queste risposte API di esempio e le procedure consigliate per la risoluzione dei problemi. Collaborare con il team di sviluppo dell'API per testare tutti gli scenari di risposta possibili, comprese le risposte di continuazione, di errore di convalida e di blocco.
Passaggi successivi
Risorse di resilienza per amministratori e architetti
- Creare resilienza con la gestione delle credenziali
- Creare resilienza con gli stati del dispositivo
- Creare resilienza usando la Valutazione continua dell'accesso (CAE)
- Creare resilienza nell'autenticazione ibrida
- Creare resilienza nell'accesso alle applicazioni con Application Proxy