Experiencia de invitación de colaboración B2B de Azure Active Directory

En este artículo se describen las maneras en las que los usuarios invitados pueden acceder a los recursos y el proceso de consentimiento que se encuentran. Si envía un correo electrónico de invitación al invitado, la invitación incluye un vínculo que este puede canjear para acceder a la aplicación o al portal. El correo electrónico de invitación es solo uno de los modos de acceso de los invitados a los recursos. Como alternativa, puede agregar invitados a su directorio y proporcionarles un vínculo directo al portal o a la aplicación que desee compartir. Independientemente del método que usen, la primera vez se les guiará por un proceso de consentimiento. Este proceso garantiza que los invitados acepten los términos de privacidad y los términos de uso que haya configurado.

Al agregar un usuario invitado al directorio, la cuenta de este tiene un estado de consentimiento (visible en PowerShell) que se establece inicialmente en PendingAcceptance. Esta configuración permanece hasta que el invitado acepta la invitación, la política de privacidad y los términos de uso. Después de eso, el estado de consentimiento cambia a Accepted y las páginas de consentimiento dejan de aparecer para el invitado.

Importante

Canje e inicio de sesión mediante un punto de conexión común

Ahora, los usuarios invitados pueden iniciar sesión en las aplicaciones multiinquilino o las aplicaciones propias de Microsoft mediante un punto de conexión común (una dirección URL); por ejemplo, https://myapps.microsoft.com. Anteriormente, si se utilizaba una dirección URL común, el usuario invitado accedía automáticamente al inquilino principal en lugar de al inquilino del recursos para autenticarse, por lo que se necesitaba un vínculo específico del inquilino (por ejemplo, https://myapps.microsoft.com/?tenantid=<tenant id>). Ahora, el usuario invitado puede ir a la dirección URL común de la aplicación, elegir Opciones de inicio de sesión y seleccionar Sign in to an organization (Iniciar sesión en una organización). Luego, el usuario tiene que escribir el nombre de dominio de la organización.

Capturas de pantalla que muestran los puntos de conexión habituales que se usan para iniciar sesión.

Después, el usuario accede automáticamente al punto de conexión del inquilino, donde puede iniciar sesión con su dirección de correo electrónico o seleccionar un proveedor de identidades que haya configurado.

En lugar de la invitación por correo electrónico o la dirección URL común de la aplicación, también puede proporcionar al invitado un vínculo directo a la aplicación o al portal. Primero debe agregar el usuario invitado a su directorio mediante Azure Portal o PowerShell. Puede usar cualquiera de las maneras personalizables para implementar las aplicaciones para los usuarios, incluidos los vínculos de inicio de sesión en directo. Cuando un invitado usa un vínculo directo en lugar de la invitación por correo electrónico, también se le guía por la experiencia de consentimiento inicial.

Nota

Los vínculos directos son específicos del inquilino. En otras palabras, contienen un identificador del inquilino o un dominio verificado para que el invitado puede autenticarse en el inquilino donde se encuentra la aplicación compartida. Estos son algunos ejemplos de vínculos directos con el contexto del inquilino:

  • Panel de acceso de aplicaciones: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Panel de acceso de aplicaciones para un dominio comprobado: https://myapps.microsoft.com/<;verified domain>
  • Azure Portal: https://portal.azure.com/<tenant id>
  • Aplicación individual: consulte cómo usar un vínculo de inicio de sesión en directo

En algunos casos se recomienda el correo electrónico de invitación en lugar del vínculo directo. Si estos casos especiales son importantes para su organización, se recomienda que invite a los usuarios mediante métodos que aún envíen el correo electrónico de invitación:

  • A veces, el objeto de usuario invitado puede no tener una dirección de correo electrónico debido a un conflicto con un objeto de contacto (por ejemplo, un objeto de contacto de Outlook). En este caso, el usuario debe hacer clic en la dirección URL de canje en el correo electrónico de invitación.
  • El usuario puede iniciar sesión con un alias de la dirección de correo electrónico a la que se invitó. (Un alias es una dirección de correo electrónico adicional asociada con una cuenta de correo electrónico). En este caso, el usuario debe hacer clic en la dirección URL de canje en el correo electrónico de invitación.

Canje a través del correo electrónico de invitación

Al agregar un usuario invitado al directorio mediante Azure Portal, se envía un correo electrónico de invitación al invitado. También puede enviar correos electrónicos de invitación cuando use PowerShell para agregar usuarios invitados al directorio. Esta es una descripción de la experiencia del invitado cuando canjea el vínculo del correo electrónico.

  1. El invitado recibe un correo electrónico de invitación que se envía desde Microsoft Invitations.
  2. El invitado selecciona Aceptar invitación en el correo electrónico.
  3. El invitado usará sus propias credenciales para iniciar sesión en el directorio. Si el invitado no tiene una cuenta que se pueda federar al directorio y la característica código de acceso de un solo uso (OTP) de correo electrónico no está habilitada, se solicita al invitado que cree una cuenta MSA personal. Consulte Flujo de canje de invitación para más información.
  4. Al invitado se le guiará por la experiencia de consentimiento que se describe a continuación.

Limitación de canje con el objeto Contact en conflicto

A veces, el correo electrónico del usuario invitado externo puede entrar en conflicto con un objeto Contact existente, lo que da lugar a que el usuario invitado se cree sin una propiedad proxyAddress. Esta es una limitación conocida que impide que los usuarios invitados canjeen una invitación mediante un vínculo directo con SAML/WS-Fed IdP, MSA, federación de Google o cuentas de código de acceso de un solo uso de correo electrónico.

Sin embargo, los escenarios siguientes deberían seguir funcionando:

Para desbloquear a los usuarios que no pueden canjear una invitación debido a un objeto Contact en conflicto, siga estos pasos:

  1. Elimine el objeto Contact en conflicto.
  2. Elimine el usuario invitado en Azure Portal (la propiedad "Invitación aceptada" del usuario debe estar en un estado pendiente).
  3. Vuelva a invitar al usuario externo.
  4. Espere a que el usuario canjee la invitación.
  5. Vuelva a agregar el correo electrónico de contacto del usuario en Exchange y cualquier DL de la que debe formar parte.

Flujo del canje de invitación

Cuando un usuario hace clic en el vínculo Aceptar invitación de un correo electrónico de invitación, Azure AD canjea automáticamente la invitación basándose en el flujo de canje, del modo que se muestra a continuación:

Captura de pantalla que muestra el diagrama de flujo del canje.


  1. Azure AD realiza la detección basada en usuarios para determinar si el usuario ya existe en un inquilino de Azure AD administrado. (Las cuentas de Azure AD no administradas ya no se pueden usar para el canje). Si el nombre principal de usuario (UPN) coincide con una cuenta de Azure AD existente y una MSA personal, se le pedirá al usuario que elija la cuenta con la que desea realizar el canje.

  2. Si un administrador ha habilitado la federación de IdP de SAML/WS-Fed, Azure AD comprueba si el sufijo de dominio del usuario coincide con el dominio de un proveedor de identidades SAML/WS-Fed configurado y redirige al usuario al proveedor de identidades configurado previamente.

  3. Si un administrador ha habilitado la federación de Google, Azure AD comprueba si el sufijo de dominio del usuario es gmail.com o googlemail.com y redirige al usuario a Google.

  4. El proceso de canje comprueba si el usuario tiene una MSA personal existente. Si el usuario ya tiene una MSA existente, la usará para iniciar sesión.

  5. Una vez identificado el directorio principal del usuario, el usuario se envía al proveedor de identidades correspondiente para iniciar sesión.

  6. Si no se encuentra ningún directorio principal y la característica de código de acceso de un solo uso de correo electrónico está habilitada para invitados, se envía un código de acceso al usuario a través del correo electrónico invitado. El usuario recupera el código de acceso y lo escribirá en la página de inicio de sesión de Azure AD.

  7. Si no se encuentra ningún directorio principal y se deshabilita el código de acceso de un solo uso de correo electrónico para invitados, se le pedirá al usuario que cree una MSA de consumidor con el correo electrónico invitado. Se admite la creación de una MSA con correos electrónicos profesionales en dominios que no se comprueban en Azure AD.

  8. Después de autenticarse en el proveedor de identidades correcto, se redirige al usuario a Azure AD para completar la experiencia de consentimiento.

Cuando un invitado inicia sesión en un recurso de una organización asociada, se le muestra la siguiente experiencia de consentimiento. Estas páginas de consentimiento solo se muestran al invitado después del inicio de sesión y no se muestran en absoluto si el usuario ya las ha aceptado.

  1. El invitado debe revisar la página Revisar permisos, donde se describe la declaración de privacidad de la organización anfitriona. Para poder continuar, el usuario debe Aceptar el uso de su información de acuerdo con las directivas de privacidad de la organización anfitriona.

    Captura de pantalla que muestra la página Revisar permisos.

    Nota

    Para obtener información sobre cómo puede, como administrador de inquilinos, vincular con la declaración de privacidad de su organización, vea Procedimiento: Incorporación de información de privacidad de su organización en Azure Active Directory.

  2. Si se han configurado términos de uso, el invitado debe abrirlos y revisarlos y seleccionar Aceptar.

    Captura de pantalla en la que se muestran los nuevos términos de uso.

    Puede configurar los Términos de uso en External Identities>Términos de uso.

  3. A menos que se especifique otra cosa, al invitado se le redirige al panel de acceso a las aplicaciones, que enumera las aplicaciones a las que puede acceder.

    Captura de pantalla que muestra el panel de acceso a las aplicaciones.

En su directorio, el valor de Invitación aceptada cambia a . Si se creó una MSA, el Origen del usuario muestra Cuenta Microsoft. Para más información sobre las propiedades de la cuenta de usuario invitado, consulte Propiedades de un usuario de colaboración B2B de Azure Active Directory. Si ve un error que requiere el consentimiento del administrador al acceder a una aplicación, consulte Cómo conceder consentimiento de administrador a las aplicaciones.

Pasos siguientes