Sestavení odolnosti při ověřování externích uživatelů
Spolupráce Microsoft Entra B2B (Microsoft Entra B2B) je funkce externích identit, která umožňuje spolupráci s jinými organizacemi a jednotlivci. Umožňuje zabezpečené onboarding uživatelů typu host do vašeho tenanta Microsoft Entra bez nutnosti spravovat jejich přihlašovací údaje. Externí uživatelé přinesou svou identitu a přihlašovací údaje od externího zprostředkovatele identity (IdP), aby si nemuseli pamatovat nové přihlašovací údaje.
Způsoby ověřování externích uživatelů
V adresáři můžete zvolit metody ověřování externích uživatelů. Můžete použít zprostředkovatele identity Microsoftu nebo jiné zprostředkovatele identity.
U každého externího zprostředkovatele identity závisíte na dostupnosti tohoto zprostředkovatele identity. S některými metodami připojení k zprostředkovatele identity můžete zvýšit odolnost.
Poznámka:
Microsoft Entra B2B má integrovanou schopnost ověřovat libovolného uživatele z libovolného tenanta Microsoft Entra ID nebo pomocí osobního účtu Microsoft. S těmito integrovanými možnostmi nemusíte provádět žádnou konfiguraci.
Důležité informace o odolnosti s jinými zprostředkovatele identity
Pokud pro ověřování uživatelů typu host používáte externí zprostředkovatele identity, je nutné zachovat konfigurace, aby se zabránilo přerušení.
| Metoda ověřování | Aspekty odolnosti |
|---|---|
| Federace se sociálními IDP, jako je Facebook nebo Google. | Svůj účet musíte udržovat pomocí zprostředkovatele identity a nakonfigurovat ID klienta a tajný klíč klienta. |
| Federace zprostředkovatele identity SAML/WS-Fed | Abyste měli přístup ke svým koncovým bodům, na kterých jste závislí, musíte spolupracovat s vlastníkem zprostředkovatele identity. Musíte udržovat metadata, která obsahují certifikáty a koncové body. |
| Jednorázové heslo e-mailu | Závisíte na e-mailovém systému Microsoftu, e-mailovém systému uživatele a e-mailovém klientovi uživatele. |
Samoobslužné přihlášení
Jako alternativu k odesílání pozvánek nebo odkazů můžete povolit samoobslužnou registraci. Tato metoda umožňuje externím uživatelům požadovat přístup k aplikaci. Musíte vytvořit konektor rozhraní API a přidružit ho k toku uživatele. Přidružíte toky uživatelů, které definují uživatelské prostředí s jednou nebo více aplikacemi.
Konektory rozhraní API je možné použít k integraci toku uživatelů samoobslužné registrace s rozhraními API externích systémů. Tuto integraci rozhraní API je možné použít pro vlastní pracovní postupy schvalování, ověřování identity a další úlohy, jako je přepsání atributů uživatele. Použití rozhraní API vyžaduje správu následujících závislostí.
- Ověřování rozhraní API Připojení orem: Nastavení konektoru vyžaduje adresu URL koncového bodu, uživatelské jméno a heslo. Nastavte proces, podle kterého se tyto přihlašovací údaje spravují, a spolupracujte s vlastníkem rozhraní API, abyste měli jistotu, že znáte plán vypršení platnosti.
- Odpověď rozhraní API Připojení orem: Pokud rozhraní API není dostupné, návrh rozhraní API Připojení orů v toku registrace se nezdaří. Prozkoumejte a poskytněte vývojářům rozhraní API tyto ukázkové odpovědi rozhraní API a osvědčené postupy pro řešení potíží. Spolupracujte s vývojovým týmem rozhraní API a otestujte všechny možné scénáře odezvy, včetně pokračování, chyby ověřování a blokování odpovědí.
Další kroky
Prostředky odolnosti pro správce a architekty
- Sestavení odolnosti pomocí správy přihlašovacích údajů
- Sestavení odolnosti se stavy zařízení
- Zajištění odolnosti pomocí průběžného vyhodnocování přístupu (CAE)
- Sestavení odolnosti v hybridním ověřování
- Zajištění odolnosti v přístupu k aplikacím pomocí proxy aplikací