Vanliga lösningar för användarhantering för flera klientorganisationer
Den här artikeln är den fjärde i en serie artiklar som ger vägledning för att konfigurera och tillhandahålla användarlivscykelhantering i Microsoft Entra-miljöer med flera klientorganisationer. Följande artiklar i serien innehåller mer information enligt beskrivningen.
- Introduktionen till användarhantering med flera klientorganisationer är den första i serien.
- Scenarier för hantering av flera klientanvändare beskriver tre scenarier där du kan använda funktioner för användarhantering med flera klientorganisationer: slutanvändarinitierade, skriptade och automatiserade.
- Vanliga överväganden för hantering av flera klienter ger vägledning för följande överväganden: synkronisering mellan klientorganisationer, katalogobjekt, villkorsstyrd åtkomst i Microsoft Entra, ytterligare åtkomstkontroll och Office 365.
Vägledningen hjälper dig att uppnå ett konsekvent tillstånd för användarlivscykelhantering. Livscykelhantering omfattar etablering, hantering och avetablering av användare mellan klienter med hjälp av tillgängliga Azure-verktyg som omfattar Microsoft Entra B2B-samarbete (B2B) och synkronisering mellan klientorganisationer.
Microsoft rekommenderar en enda klientorganisation där det är möjligt. Om en enskild innehavare inte fungerar för ditt scenario refererar du till följande lösningar som Microsoft-kunder har implementerat för dessa utmaningar:
- Automatisk användarlivscykelhantering och resursallokering mellan klienter
- Dela lokala appar mellan klientorganisationer
Automatisk användarlivscykelhantering och resursallokering mellan klienter
En kund förvärvar en konkurrent som de tidigare hade nära affärsrelationer med. Organisationerna vill behålla sina företagsidentiteter.
Aktuell status
För närvarande synkroniserar organisationerna varandras användare som e-postkontaktobjekt så att de visas i varandras kataloger. Varje resursklient har aktiverat e-postkontaktobjekt för alla användare i den andra klientorganisationen. Det går inte att komma åt program i flera klientorganisationer.
Mål
Kunden har följande mål.
- Varje användare visas i varje organisations GAL.
- Livscykeländringar för användarkonton i hemklientorganisationen återspeglas automatiskt i resursklientens GAL.
- Attributändringar i hemklientorganisationer (till exempel avdelning, namn, SMTP-adress (Simple Mail Transfer Protocol) återspeglas automatiskt i resursklientens GAL och hem-GAL.
- Användare kan komma åt program och resurser i resursklientorganisationen.
- Användare kan själv hantera åtkomstbegäranden till resurser.
Lösningsarkitekturen
Organisationerna använder en punkt-till-punkt-arkitektur med en synkroniseringsmotor, till exempel Microsoft Identity Manager (MIM). Följande diagram illustrerar ett exempel på punkt-till-punkt-arkitektur för den här lösningen.
Varje klientadministratör utför följande steg för att skapa användarobjekten.
- Se till att användardatabasen är uppdaterad.
- Distribuera och konfigurera MIM.
- Hantera befintliga kontaktobjekt.
- Skapa externa medlemsanvändarobjekt för den andra klientorganisationens interna medlemsanvändare.
- Synkronisera attribut för användarobjekt.
- Distribuera och konfigurera åtkomstpaket för berättigandehantering .
- Resurser som ska delas.
- Principer för förfallo- och åtkomstgranskning.
Dela lokala appar mellan klientorganisationer
En kund med flera peer-organisationer måste dela lokala program från en av klientorganisationerna.
Aktuell status
Peer-organisationer synkroniserar externa användare i en nättopologi, vilket möjliggör resursallokering till molnprogram mellan klientorganisationer. Kunden erbjuder följande funktioner.
- Dela program i Microsoft Entra-ID.
- Automatiserad användarlivscykelhantering i resursklientorganisationen i hemklientorganisationen (som återspeglar lägg till, ändra och ta bort).
Följande diagram illustrerar det här scenariot, där endast interna användare i Företag A får åtkomst till företags-A:s lokala appar.
Mål
Tillsammans med de aktuella funktionerna vill de erbjuda följande.
- Ge åtkomst till företags-A:s lokala resurser för externa användare.
- Appar med SAML-autentisering (Security Assertion Markup Language).
- Appar med integrerad Windows-autentisering och Kerberos.
Lösningsarkitekturen
Företag A tillhandahåller enkel inloggning (SSO) till lokala appar för sina egna interna användare som använder Azure Programproxy enligt följande diagram.
Diagramrubrik: Azure Programproxy arkitekturlösning. Längst upp till vänster innehåller en ruta med etiketten "https://sales.constoso.com" en jordglobikon som representerar en webbplats. Under den representerar en grupp ikoner användaren och är anslutna med en pil från användaren till webbplatsen. Längst upp till höger innehåller en molnform med etiketten Microsoft Entra-ID en ikon med etiketten Programproxy Service. En pil ansluter webbplatsen till molnformen. Längst ned till höger har en ruta med etiketten DMZ underrubriken Lokal. En pil ansluter molnformen till DMZ-rutan och delar upp i två för att peka på ikoner märkta Anslut eller. Under Anslut ellerikonen till vänster pekar en pil nedåt och delar i två för att peka på ikoner med etiketten App 1 och App 2. Under Anslut ellerikonen till höger pekar en pil ned till en ikon med etiketten App 3.
Administratörer i klientorganisation A utför följande steg för att ge sina externa användare åtkomst till samma lokala program.
- Konfigurera åtkomst till SAML-appar.
- Konfigurera åtkomst till andra program.
- Skapa lokala användare via MIM eller PowerShell.
Följande artiklar innehåller ytterligare information om B2B-samarbete.
- Ge B2B-användare i Microsoft Entra ID åtkomst till dina lokala resurser beskriver hur du kan ge B2B-användare åtkomst till lokala appar.
- Microsoft Entra B2B-samarbete för hybridorganisationer beskriver hur du kan ge dina externa partner åtkomst till appar och resurser i din organisation.
Nästa steg
- Introduktionen till användarhantering med flera klientorganisationer är den första i serien med artiklar som ger vägledning för att konfigurera och tillhandahålla användarlivscykelhantering i Microsoft Entra-miljöer med flera klientorganisationer.
- Scenarier för hantering av flera klientanvändare beskriver tre scenarier där du kan använda funktioner för användarhantering med flera klientorganisationer: slutanvändarinitierade, skriptade och automatiserade.
- Vanliga överväganden för hantering av flera klienter ger vägledning för följande överväganden: synkronisering mellan klientorganisationer, katalogobjekt, villkorsstyrd åtkomst i Microsoft Entra, ytterligare åtkomstkontroll och Office 365.