Renforcer la résilience de l’authentification des utilisateurs externes

  • Article

Microsoft Entra B2B Collaboration (Microsoft Entra B2B) est une fonctionnalité des External Identities qui permet la collaboration avec d’autres organisations et individus. Elle permet l’intégration sécurisée d’utilisateurs invités dans votre locataire Microsoft Entra sans avoir à gérer leurs informations d’identification. Les utilisateurs externes apportent leur identité et leurs informations d’identification d’un fournisseur d’identité (IdP) externe, de sorte qu’ils n’ont pas à mémoriser de nouvelles informations d’identification.

Méthodes d’authentification des utilisateurs externes

Vous pouvez choisir les méthodes d’authentification des utilisateurs externes pour votre répertoire. Vous pouvez utiliser des IdP Microsoft ou d’autres fournisseurs.

Avec chaque IdP externe, vous dépendez de la disponibilité de cet IdP. Certaines méthodes de connexion aux IdP vous permettent de prendre certaines mesures pour accroître votre résilience.

Remarque

Microsoft Entra B2B a la capacité intégrée d’authentifier tout utilisateur à partir de n’importe quel locataire Microsoft Entra ID ou avec un compte Microsoft personnel. Vous n’avez pas à effectuer de configuration avec ces options intégrées.

Considérations relatives à la résilience avec d’autres IdP

Lorsque vous utilisez des IdP externes pour l’authentification des utilisateurs invités, vous devez vous assurer que vous disposez de configurations pour éviter toute interruption.

Méthode d'authentification Considérations relatives à la résilience
Fédération avec des IdP de réseaux sociaux comme Facebook ou Google. Vous devez tenir à jour votre compte avec l’IdP et configurer votre ID client et votre clé secrète client.
Fédération du fournisseur d’identité (IdP) SAML/WS-Fed Vous devez collaborer avec le propriétaire de l’IdP pour accéder à ses points de terminaison, dont vous dépendez. Vous devez gérer les métadonnées que contiennent les certificats et les points de terminaison.
Code secret à usage unique d’e-mail Vous dépendez du système de messagerie de Microsoft, du système de messagerie de l’utilisateur et du client de messagerie de l’utilisateur.

Inscription en libre-service

Au lieu d’envoyer des invitations ou des liens, vous pouvez activer l’inscription en libre-service. Cette méthode permet aux utilisateurs externes de demander l’accès à une application. Vous devez créer un connecteur d’API et l’associer à un flux d’utilisateurs. Vous associez des flux d’utilisateur qui définissent l’expérience utilisateur avec une ou plusieurs applications.

Il est possible d’utiliser des connecteurs d’API pour intégrer votre flux d’utilisateurs d’inscription en libre-service à des API de systèmes externes. Cette intégration d’API peut être utilisée pour les workflows d’approbation personnalisés, la vérification d’identité et d’autres tâches telles que l’écrasement des attributs utilisateur. L’utilisation des API requiert la gestion des dépendances suivantes.

  • Authentification du connecteur d’API : La configuration d’un connecteur requiert une URL de point de terminaison, un nom d’utilisateur et un mot de passe. Configurez un processus grâce auquel ces informations d’identification sont conservées et collaborez avec le propriétaire de l’API pour vous assurer de connaître le calendrier d’expiration.
  • Réponse du connecteur d’API : Concevez des connecteurs d’API dans le flux d’inscription pour qu’ils échouent correctement si l’API n’est pas disponible. Examinez et fournissez à vos développeurs d’API ces exemples de réponses d’API et les meilleures pratiques pour la résolution des problèmes. Collaborez avec l’équipe de développement des API pour tester tous les scénarios de réponse possibles, y compris les réponses de continuation, d’erreur de validation et de blocage.

Étapes suivantes

Ressources de résilience pour les administrateurs et les architectes

Ressources de résilience pour les développeurs