Aumento de la resistencia en la autenticación de usuarios externos
La colaboración de Microsoft Entra B2B (Microsoft Entra B2B) es una característica de External Identities que permite la colaboración con otras organizaciones y usuarios. Esta característica hace posible la incorporación segura de usuarios invitados al inquilino de Microsoft Entra sin tener que administrar sus credenciales. Los usuarios externos llevan con ellos la identidad y las credenciales de un proveedor de identidades externo (IdP), por lo que no tienen que recordar nuevas credenciales.
Formas de autenticar a los usuarios externos
Puede elegir los métodos de autenticación de usuarios externos en el directorio. Puede usar proveedores de identidades de Microsoft u otros.
Con cada proveedor de identidades externo, se acepta una dependencia de la disponibilidad de dicho proveedor. Con algunos métodos de conexión a los proveedores de identidades, hay cosas que puede hacer para aumentar la resistencia.
Nota:
Microsoft Entra B2B incorpora la posibilidad de autenticar a cualquier usuario de cualquier inquilino de Microsoft Entra ID o con una cuenta Microsoft personal. Con estas opciones integradas, no es necesario realizar ninguna configuración.
Consideraciones para la resistencia con otros proveedores de identidades
Cuando se usan proveedores de identidades externos para la autenticación de usuarios invitados, es necesario mantener configuraciones para evitar interrupciones.
Método de autenticación | Consideraciones sobre la resistencia |
---|---|
Federación con proveedores de identidades sociales, como Facebook o Google. | Debe mantener su cuenta con el proveedor de identidades y configurar el identificador y el secreto de cliente. |
Federación del proveedor de identidades (IdP) SAML/WS-Fed | Debe colaborar con el propietario del proveedor de identidades para acceder a sus puntos de conexión de los que depende. Debe mantener los metadatos que contienen los certificados y los puntos de conexión. |
Código de acceso de un solo uso de correo electrónico | Depende del sistema de correo electrónico de Microsoft, del sistema de correo electrónico y del cliente de correo electrónico del usuario. |
Registro de autoservicio
Como alternativa al envío de invitaciones o vínculos, puede habilitar el registro de autoservicio. Este método permite que los usuarios externos soliciten acceso a una aplicación. Debe crear un conector de API y asociarlo a un flujo de usuario. Puede asociar flujos de usuario que definan la experiencia del usuario con una o más aplicaciones.
Es posible usar conectores de API para integrar el flujo de usuario de registro de autoservicio con las API de los sistemas externos. Esta integración de API se puede usar con los flujos de trabajo de aprobación personalizados para realizar comprobaciones de identidad, y para otras tareas, como sobrescribir los atributos de usuario. El uso de API requiere la administración de las dependencias siguientes.
- Autenticación del conector de API: para configurar un conector se requiere una dirección URL de punto de conexión, un nombre de usuario y una contraseña. Configure un proceso por el que se mantengan estas credenciales y trabaje con el propietario de la API para confirmar que sabe cuándo está programada la expiración.
- Respuesta del conector de API: diseñe conectores de API en el flujo de registro para que no funcionen si la API no está disponible. Examine y proporcione a los desarrolladores de la API estas respuestas de ejemplo de API y los procedimientos recomendados para la solución de problemas. Trabaje con el equipo de desarrollo de API para probar todos los escenarios de respuesta posibles, como continuación, error de validación y bloqueo.
Pasos siguientes
Recursos de resistencia para administradores y arquitectos
- Aumento de la resistencia con la administración de credenciales
- Aumento de la resistencia con estados de dispositivos
- Aumento de la resistencia mediante Evaluación continua de acceso (CAE)
- Aumento de la resistencia en la autenticación híbrida
- Aumento de la resistencia en el acceso a la aplicación con Application Proxy