Uplatnění pozvánky ke spolupráci B2B v Azure Active Directory

Tento článek popisuje, jak můžou uživatelé typu host přistupovat k vašim prostředkům, a postup vyjádření souhlasu, se kterým se setkají. Pokud hostu pošlete e-mail s pozvánkou, bude součástí pozvánky odkaz, který může host uplatnit, aby získal přístup k vaší aplikaci nebo portálu. E-mail s pozvánkou je jen jedním ze způsobů, jak mohou hosté získat přístup k vašim prostředkům. Alternativně můžete do adresáře přidat hosty a dát jim přímý odkaz na portál nebo aplikaci, kterou chcete sdílet. Bez ohledu na to, kterou metodu používají, jsou hosté vedeni prvním procesem souhlasu. Tento proces zajišťuje, že vaši hosté souhlasí s podmínkami ochrany osobních údajů a souhlasí s podmínkami použití , které jste nastavili.

Když do adresáře přidáte uživatele typu host, bude mít uživatelský účet typu host stav souhlasu (zobrazitelný v PowerShellu), který je zpočátku nastavený na PendingAcceptance. Toto nastavení zůstává, dokud host pozvánku přijme a neschválila vaše zásady ochrany osobních údajů a podmínky použití. Potom se stav souhlasu změní na Přijato a stránky souhlasu se už hostu nezobrazí.

Důležité

Uplatnění a přihlášení prostřednictvím společného koncového bodu

Uživatelé typu host se teď můžou přihlásit k víceklientům nebo Microsoft aplikací první strany prostřednictvím společného koncového bodu (adresy URL), například https://myapps.microsoft.com. Dříve by společná adresa URL přesměrovala uživatele typu host k ověření do jeho domovského tenanta místo do tenanta prostředků, takže se vyžadoval odkaz pro konkrétního tenanta (například https://myapps.microsoft.com/?tenantid=<tenant id>). Uživatel typu host teď může přejít na společnou adresu URL aplikace, zvolit Možnosti přihlášení a pak vybrat Přihlásit se k organizaci. Uživatel pak zadá název domény vaší organizace.

Snímky obrazovky zobrazující běžné koncové body používané pro přihlášení

Uživatel je pak přesměrován na koncový bod tenanta, kde se může přihlásit pomocí své e-mailové adresy nebo vybrat zprostředkovatele identity, kterého jste nakonfigurovali.

Jako alternativu k e-mailu s pozvánkou nebo ke společné adrese URL aplikace můžete hostovi poskytnout přímý odkaz na vaši aplikaci nebo portál. Nejprve musíte uživatele typu host přidat do adresáře prostřednictvím Azure Portal nebo PowerShellu. Pak můžete použít libovolný z přizpůsobitelných způsobů nasazení aplikací pro uživatele, včetně odkazů pro přímé přihlašování. Když host použije místo e-mailu s pozvánkou přímý odkaz, bude i nadále prováděný prostředím prvního souhlasu.

Poznámka

Přímý odkaz je specifický pro tenanta. Jinými slovy, zahrnuje ID tenanta nebo ověřenou doménu, aby se host mohl ověřit ve vašem tenantovi, kde se sdílená aplikace nachází. Tady je několik příkladů přímých odkazů s kontextem tenanta:

  • Panel pro přístup k aplikacím: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Přístupový panel aplikací pro ověřenou doménu: https://myapps.microsoft.com/<;verified domain>
  • Azure Portal:https://portal.azure.com/<tenant id>
  • Jednotlivá aplikace: Podívejte se, jak používat odkaz pro přímé přihlašování.

V některých případech se e-mail s pozvánkou doporučuje přes přímý odkaz. Pokud jsou tyto zvláštní případy pro vaši organizaci důležité, doporučujeme pozvat uživatele pomocí metod, které e-mail s pozvánkou stále odesílají:

  • Pozvaný objekt uživatele někdy nemusí mít e-mailovou adresu kvůli konfliktu s objektem kontaktu (například objektem kontaktu v Outlooku). V takovém případě musí uživatel kliknout na adresu URL pro uplatnění v e-mailu s pozvánkou.
  • Uživatel se může přihlásit pomocí aliasu e-mailové adresy, která byla pozvána. (Alias je další e-mailová adresa přidružená k e-mailovému účtu.) V takovém případě musí uživatel kliknout na adresu URL pro uplatnění v e-mailu s pozvánkou.

Uplatnění prostřednictvím e-mailu s pozvánkou

Když přidáte uživatele typu host do adresáře pomocí Azure Portal, hostovi se během procesu odešle e-mail s pozvánkou. E-maily s pozvánkou můžete také posílat, když do adresáře přidáváte uživatele typu host pomocí PowerShellu . Tady je popis prostředí hosta, když uplatní odkaz v e-mailu.

  1. Host obdrží e-mail s pozvánkou odeslaný z Microsoft Pozvánky.
  2. Host v e-mailu vybere Přijmout pozvánku .
  3. Host použije k přihlášení k vašemu adresáři svoje vlastní přihlašovací údaje. Pokud host nemá účet, který by se mohl federovat do vašeho adresáře, a funkce jednorázového hesla e-mailu není povolená; host je vyzván k vytvoření osobního účtu MSA. Podrobnosti najdete v postupu uplatnění pozvánky .
  4. Host je proveden prostředím pro vyjádření souhlasu , které je popsáno níže.

Omezení uplatnění s konfliktním objektem Contact

E-mail pozvaný externího uživatele typu host může někdy kolidovat s existujícím objektem Contact, což vede k vytvoření uživatele typu host bez proxyAddress. Jedná se o známé omezení, které brání uživatelům typu host uplatnit pozvánku prostřednictvím přímého odkazu pomocí účtů SAML/WS-Fed IdP, MSA, Google Federation nebo Email One-Time Passcode.

Následující scénáře by ale měly fungovat i nadále:

Pokud chcete odblokovat uživatele, kteří nemůžou uplatnit pozvánku kvůli konfliktnímu objektu Kontakt, postupujte takto:

  1. Odstraňte konfliktní objekt Contact.
  2. Odstraňte uživatele typu host v Azure Portal (vlastnost "Pozvánka přijata" uživatele by měla být ve stavu čekání na vyřízení).
  3. Znovu pozvěte uživatele typu host.
  4. Počkejte, až uživatel pozvánku uplatní.
  5. Přidejte kontaktní e-mail uživatele zpátky do Exchange a všechny adresy DLL, které by měly být součástí.

Tok uplatnění pozvánky

Když uživatel klikne na odkaz Přijmout pozvánku v e-mailu s pozvánkou, Azure AD pozvánku automaticky uplatní na základě postupu uplatnění, jak je znázorněno níže:

Snímek obrazovky znázorňující diagram postupu uplatnění


  1. Azure AD provádí zjišťování na základě uživatelů a zjišťuje, jestli uživatel již existuje ve spravovaném tenantovi Azure AD. (Nespravované účty Azure AD už nejde použít k uplatnění.) Pokud hlavní název uživatele (UPN) odpovídá stávajícímu účtu Azure AD i osobnímu účtu MSA, zobrazí se uživateli výzva k výběru účtu, který chce uplatnit.

  2. Pokud správce povolil federaci zprostředkovatele identity SAML/WS-Fed, Azure AD zkontroluje, jestli přípona domény uživatele odpovídá doméně nakonfigurovaného zprostředkovatele identity SAML/WS-Fed, a přesměruje uživatele na předem nakonfigurovaného zprostředkovatele identity.

  3. Pokud správce povolil federaci Google, Azure AD zkontroluje, jestli je přípona domény uživatele gmail.com nebo googlemail.com, a přesměruje uživatele na Google.

  4. Proces uplatnění zkontroluje, jestli má uživatel existující osobní účet MSA. Pokud už uživatel má účet MSA, přihlásí se pomocí svého existujícího účtu MSA.

  5. Po identifikaci domovského adresáře uživatele se uživatel odešle odpovídajícímu zprostředkovateli identity, aby se přihlásil.

  6. Pokud se nenajde žádný domovský adresář a pro hosty je povolená funkce jednorázového hesla e-mailu, odešle se uživateli heslo prostřednictvím pozvané e-mailové adresy. Uživatel načte a zadá toto heslo na přihlašovací stránce Azure AD.

  7. Pokud se nenajde žádný domovský adresář a jednorázové heslo pro hosty e-mailem je zakázané, zobrazí se uživateli výzva k vytvoření účtu MSA příjemce s pozvaným e-mailem. Podporujeme vytvoření msa s pracovními e-maily v doménách, které nejsou ověřené v Azure AD.

  8. Po ověření u správného zprostředkovatele identity se uživatel přesměruje na Azure AD, aby se dokončilo udělování souhlasu.

Když se host poprvé přihlásí k prostředku v partnerské organizaci, zobrazí se mu následující prostředí pro vyjádření souhlasu. Tyto stránky souhlasu se hostovi zobrazí až po přihlášení, a pokud je uživatel už přijal, vůbec se nezobrazí.

  1. Host zkontroluje stránku Kontrola oprávnění popisující prohlášení o zásadách ochrany osobních údajů zvoucí organizace. Aby uživatel pokračoval, musí souhlasit s použitím svých informací v souladu se zásadami ochrany osobních údajů organizace, která ho zve.

    Snímek obrazovky se stránkou Zkontrolovat oprávnění

    Poznámka

    Informace o tom, jak můžete jako správce tenanta odkazovat na prohlášení o zásadách ochrany osobních údajů vaší organizace, najdete v tématu Postupy: Přidání informací o ochraně osobních údajů vaší organizace v Azure Active Directory.

  2. Pokud jsou podmínky použití nakonfigurované, host se otevře, zkontroluje podmínky použití a pak vybere Přijmout.

    Snímek obrazovky s novými podmínkami použití

    Podmínky použití můžete nakonfigurovat vpodmínkách použití externích>identit.

  3. Pokud není uvedeno jinak, host se přesměruje na přístupový panel aplikace, kde je uvedený seznam aplikací, ke kterým má host přístup.

    Snímek obrazovky s přístupovým panelem aplikací

Ve vašem adresáři se hodnota Pozvánka hosta přijala na Ano. Pokud byl vytvořen účet MSA, zdroj hosta se zobrazí Microsoft účet. Další informace o vlastnostech uživatelského účtu typu host najdete v tématu Vlastnosti uživatele spolupráce Azure AD B2B. Pokud se při přístupu k aplikaci zobrazí chyba, která vyžaduje souhlas správce, přečtěte si, jak udělit souhlas správce aplikacím.

Další kroky