Budowanie odporności w uwierzytelnianiu użytkowników zewnętrznych

  • Artykuł

Microsoft Entra B2B collaboration (Microsoft Entra B2B) to funkcja tożsamości zewnętrznych, która umożliwia współpracę z innymi organizacjami i osobami. Umożliwia ona bezpieczne dołączanie użytkowników-gości do dzierżawy firmy Microsoft Entra bez konieczności zarządzania poświadczeniami. Użytkownicy zewnętrzni mogą korzystać z tożsamości i poświadczeń od zewnętrznego dostawcy tożsamości, aby nie musieli pamiętać nowego poświadczenia.

Sposoby uwierzytelniania użytkowników zewnętrznych

Możesz wybrać metody uwierzytelniania użytkowników zewnętrznych w katalogu. Możesz użyć dostawców tożsamości firmy Microsoft lub innych dostawców tożsamości.

W przypadku każdego zewnętrznego dostawcy tożsamości należy podjąć zależność od dostępności tego dostawcy tożsamości. Niektóre metody nawiązywania połączenia z dostawcami tożsamości umożliwiają zwiększenie odporności.

Uwaga

Firma Microsoft Entra B2B ma wbudowaną możliwość uwierzytelniania dowolnego użytkownika z dowolnej dzierżawy microsoft Entra ID lub osobistego konta Microsoft. Nie trzeba wykonywać żadnej konfiguracji z tymi wbudowanymi opcjami.

Zagadnienia dotyczące odporności z innymi dostawcami tożsamości

W przypadku korzystania z zewnętrznych dostawców tożsamości na potrzeby uwierzytelniania użytkowników-gościa istnieją konfiguracje, które należy zachować, aby zapobiec zakłóceniom.

Metoda uwierzytelniania Zagadnienia dotyczące odporności
Federacja z dostawcami tożsamości społecznościowych, takimi jak Facebook lub Google. Musisz zachować swoje konto przy użyciu dostawcy tożsamości i skonfigurować identyfikator klienta i klucz tajny klienta.
Federacja dostawcy tożsamości SAML/WS-Fed (IdP) Musisz współpracować z właścicielem dostawcy tożsamości w celu uzyskania dostępu do ich punktów końcowych, na których jesteś zależny. Należy zachować metadane zawierające certyfikaty i punkty końcowe.
Jednorazowy kod dostępu poczty e-mail Zależysz od systemu poczty e-mail firmy Microsoft, systemu poczty e-mail użytkownika i klienta poczty e-mail użytkownika.

Rejestracja samoobsługowa

Alternatywą dla wysyłania zaproszeń lub linków jest możliwość włączenia rejestracji samoobsługowej. Ta metoda umożliwia użytkownikom zewnętrznym żądanie dostępu do aplikacji. Należy utworzyć łącznik interfejsu API i skojarzyć go z przepływem użytkownika. Skojarzysz przepływy użytkowników, które definiują środowisko użytkownika z co najmniej jedną aplikacją.

Za pomocą łączników interfejsu API można zintegrować przepływ użytkownika rejestracji samoobsługowej z interfejsami API systemów zewnętrznych. Ta integracja interfejsu API może służyć do niestandardowych przepływów pracy zatwierdzania, przeprowadzania weryfikacji tożsamości i innych zadań, takich jak zastępowanie atrybutów użytkownika. Korzystanie z interfejsów API wymaga zarządzania następującymi zależnościami.

  • Uwierzytelnianie interfejsu API Połączenie or: skonfigurowanie łącznika wymaga adresu URL punktu końcowego, nazwy użytkownika i hasła. Skonfiguruj proces, za pomocą którego te poświadczenia są przechowywane, i skontaktuj się z właścicielem interfejsu API, aby upewnić się, że znasz dowolny harmonogram wygaśnięcia.
  • Odpowiedź interfejsu API Połączenie or: interfejs API projektowania Połączenie or w przepływie tworzenia konta może zakończyć się niepowodzeniem, jeśli interfejs API nie jest dostępny. Przeanalizuj i udostępnij deweloperom interfejsu API te przykładowe odpowiedzi interfejsu API oraz najlepsze rozwiązania dotyczące rozwiązywania problemów. We współpracy z zespołem deweloperów interfejsów API przetestuj wszystkie możliwe scenariusze odpowiedzi, w tym kontynuację, błąd weryfikacji i blokowanie odpowiedzi.

Następne kroki

Zasoby odporności dla administratorów i architektów

Zasoby odporności dla deweloperów