Erzielen von Resilienz bei der externen Benutzerauthentifizierung
Die Microsoft Entra B2B-Zusammenarbeit (Microsoft Entra B2B) ist ein Feature von External Identities, das die Zusammenarbeit mit anderen Organisationen und Personen ermöglicht. Dieses Feature ermöglicht das sichere Onboarding von Gastbenutzern in Ihrem Microsoft Entra-Mandanten, ohne dass Sie die entsprechenden Anmeldeinformationen verwalten müssen. Externe Benutzer bringen ihre Identität und Anmeldeinformationen von einem externen Identitätsanbieter (Identity Provider, IdP) mit, damit sie sich keine neue Anmeldeinformationen merken müssen.
Möglichkeiten zur Authentifizierung externer Benutzer
Sie können die Methoden auswählen, mit denen sich externe Benutzer bei Ihrem Verzeichnis authentifizieren. Sie können Microsoft-IdPs oder andere IdPs verwenden.
Mit jedem externen IdP gehen Sie eine Abhängigkeit von der Verfügbarkeit dieses Anbieters ein. Bei einigen Methoden der Verbindungsherstellung mit einem IdP können Sie verschiedene Faktoren beeinflussen, um die Resilienz zu erhöhen.
Hinweis
Microsoft Entra B2B besitzt die integrierte Möglichkeit, jeden Benutzer aus jedem Microsoft Entra ID-Mandanten oder mit einem persönlichen Microsoft-Konto zu authentifizieren. Bei diesen integrierten Optionen müssen Sie keinerlei Einstellungen konfigurieren.
Überlegungen in Bezug auf die Resilienz bei anderen IdPs
Wenn Sie externe IdPs für die Authentifizierung von Gastbenutzern verwenden, müssen Sie zur Vermeidung von Unterbrechungen bestimmte Einstellungen konfigurieren.
Authentifizierungsmethode | Überlegungen zur Resilienz |
---|---|
Verbund mit IdPs sozialer Medien wie z. B. Facebook oder Google. | Sie müssen Ihr Konto beim IdP verwalten und die Client-ID und das Clientgeheimnis konfigurieren. |
Verbund mit SAML/WS-Identitätsanbietern | Sie müssen mit dem IdP-Besitzer zusammenarbeiten, um den Zugriff auf die Endpunkte einzurichten, die Sie benötigen. Sie müssen die Metadaten verwalten, die die Zertifikate und Endpunkte enthalten. |
Authentifizierung mit Einmalkennung per E-Mail | Sie sind vom E-Mail-System von Microsoft, dem E-Mail-System des Benutzers und dem E-Mail-Client des Benutzers abhängig. |
Self-Service-Registrierung
Als Alternative zum Senden von Einladungen oder Links können Sie die Self-Service-Registrierung aktivieren. Mit dieser Methode können externe Benutzer Zugriff auf eine Anwendung anfordern. Sie müssen einen API-Connector erstellen und einem Benutzerflow zuordnen. Sie ordnen Benutzerflows zu, die das Benutzererlebnis mit einer oder mehreren Anwendungen definieren.
Sie können API-Connectors auch verwenden, um Ihren Benutzerflow für die Self-Service-Registrierung in die APIs externer Systeme zu integrieren. Diese API-Integration kann für benutzerdefinierte Genehmigungsworkflows, Identitätsüberprüfung und andere Aufgaben wie das Überschreiben von Benutzerattributen verwendet werden. Wenn Sie APIs verwenden, müssen Sie die folgenden Abhängigkeiten verwalten.
- Authentifizierung des API-Connectors: Zum Einrichten eines Connectors ist eine Endpunkt-URL, ein Benutzername und ein Kennwort erforderlich. Richten Sie einen Prozess ein, über den diese Anmeldeinformationen verwaltet werden, und arbeiten Sie mit dem API-Besitzer zusammen, um sicherzustellen, dass Sie über Ablaufzeitpläne informiert werden.
- Antwort des API-Connectors: Entwerfen Sie die API-Connectors im Anmeldeflow so, dass eine ordnungsgemäße Beendigung möglich ist, wenn die API nicht verfügbar ist. Untersuchen Sie diese API-Beispielantworten und Best Practices für die Problembehandlung, und stellen Sie Ihren API-Entwicklern die entsprechenden Informationen bereit. Arbeiten Sie mit dem API-Entwicklungsteam zusammen, um alle möglichen Antwortszenarien zu testen, einschließlich Fortsetzung, Überprüfungsfehler und blockierenden Antworten.
Nächste Schritte
Resilienzressourcen für Administratoren und Architekten
- Erzielen von Resilienz durch die Verwaltung von Anmeldeinformationen
- Erzielen von Resilienz mithilfe des Gerätestatus
- Erzielen von Resilienz durch die Nutzung fortlaufender Zugriffsevaluierung (Continuous Access Evaluation, CAE)
- Erzielen von Resilienz bei der Hybridauthentifizierung
- Erzielen von Resilienz beim Anwendungszugriff mit dem Anwendungsproxy