在外部使用者驗證中打造復原能力
Microsoft Entra B2B 共同作業 (Microsoft Entra B2B) 是外部身分識別的功能,可與其他組織和個人合作。 可安全地讓來賓使用者上線到您的 Microsoft Entra 租用戶,而不需要管理其認證。 外部使用者將其身分識別和認證與外部識別提供者 (IdP) 整合,因此他們不需要記住新的認證。
驗證外部使用者的方式
您可以選擇對目錄進行外部使用者驗證的方法。 您可以使用 Microsoft IdP 或其他 IdP。
使用每個外部 IdP 時,您會相依於該 IdP 的可用性。 使用一些連線到 IdP 的方法時,您可以採取一些動作來提高復原能力。
注意
Microsoft Entra B2B 有內建的功能,可從任何 Microsoft Entra ID 租用戶或個人 Microsoft 帳戶驗證任何使用者。 您不需要對這些內建選項進行任何設定。
其他 IdP 的復原能力考量
當您使用外部 IdP 進行來賓使用者驗證時,您必須維護一些設定以避免中斷。
| 驗證方法 | 復原能力考量 |
|---|---|
| 與 Facebook 或 Google等社交 IDP 的同盟。 | 您必須使用 IdP 維護您的帳戶,並設定您的用戶端識別碼和用戶端密碼。 |
| SAML/WS-Fed 識別提供者 (IdP) 同盟 | 您必須與 IdP 擁有者共同作業以存取其端點,您相依於這些端點。 您必須維護在其中包含憑證和端點的中繼資料。 |
| 以電子郵件寄送一次性密碼 | 您依賴於 Microsoft 的電子郵件系統、使用者的電子郵件系統,以及使用者的電子郵件用戶端。 |
自助式註冊
除了傳送邀請或連結之外,您還可以啟用自助式註冊。 此方法可讓外部使用者要求應用程式的存取權。 您必須建立 API 連接器,並將其與使用者流程產生關聯。 您可以將定義使用者體驗的使用者流程與一或多個應用程式產生關聯。
可以使用 API 連接器,將您的自助式註冊使用者流程與外部系統的 API 整合。 此 API 整合可用於自訂核准工作流程、執行身分識別驗證以及其他工作,例如覆寫使用者屬性。 使用 API 需要您管理下列相依性。
- API 連接器驗證:設定連接器需要端點 URL、使用者名稱和密碼。 設定用來維護這些認證的程序,並與 API 擁有者合作,以確保您知道任何到期排程。
- API 連接器回應:在註冊流程中設計 API 連接器,使其在 API 無法使用時能夠正常失敗。 檢查這些範例 API 回應和疑難排解的最佳做法,並且提供給 API 開發人員。 與 API 開發小組合作,測試所有可能的回應案例,包括接續、驗證錯誤和封鎖回應。