Együttműködés vendégfiókokkal és Microsoft Entra B2B-vel
Azt szeretné, hogy a külső csapat egyszerűen és biztonságosan működjön együtt a belső fejlesztői csapattal. A Microsoft Entra business to business (B2B) szolgáltatással vendégfelhasználóként felvehet más vállalatokból származó személyeket a Microsoft Entra-bérlőjéhez.
Ha a szervezet több Microsoft Entra-bérlővel rendelkezik, akkor a Microsoft Entra B2B használatával is hozzáférést adhat egy felhasználónak a B bérlőben lévő erőforrásokhoz. Minden Microsoft Entra-bérlő különálló és elkülönül a többi Microsoft Entra-bérlőtől, és saját identitásokat és alkalmazásregisztrációkat ábrázol.
Vendégfelhasználói hozzáférés a Microsoft Entra B2B-ben
Minden olyan esetben, amikor a külső felhasználóknak ideiglenes vagy korlátozott hozzáférésre van szükségük a szervezet erőforrásaihoz, adjon nekik vendégfelhasználói hozzáférést. A vendégfelhasználók számára a megfelelő korlátozásokkal adhat hozzáférést, majd a munka végeztével eltávolíthatja a hozzáférést.
Az Azure Portal használatával meghívhatja a B2B együttműködési felhasználókat. Vendégfelhasználók meghívása a Microsoft Entra szervezetbe, csoportba vagy alkalmazásba. Miután meghív egy felhasználót, a rendszer hozzáadja a fiókját a Microsoft Entra-azonosítóhoz vendégfiókként.
A vendég e-mailben kaphatja meg a meghívót, vagy közvetlen hivatkozással megoszthatja a meghívót egy alkalmazással. A vendég ezután beváltja a meghívást az erőforrások eléréséhez.
Alapértelmezés szerint a Microsoft Entra-azonosító felhasználói és rendszergazdái meghívhatnak vendégfelhasználókat, de a globális Rendszergazda istrator korlátozhatja vagy letilthatja ezt a képességet.
Együttműködés bármely partnerrel identitásuk használatával
Ha a szervezetnek egy adott partnerszervezethez tartozó minden külső vendégfelhasználó identitását kezelnie kell, akkor nagyobb felelősség hárul rá, mert az identitások védelmére van szükség. Az identitások kezeléséhez és felügyeletéhez nagyobb számítási feladat áll rendelkezésre. Emellett szinkronizálnia kell a fiókokat, kezelnie kell az egyes fiókok életciklusát, és nyomon kell követnie az egyes külső fiókokat a kötelezettségek teljesítéséhez. A szervezetnek követnie kell ezt az eljárást minden olyan partnerszervezet esetében, amellyel együtt kíván működni. Továbbá, ha valami történik ezekkel a fiókokkal, a szervezet felelős.
A Microsoft Entra B2B-vel nem kell kezelnie a külső felhasználók identitásait. A partner feladata a saját identitásainak kezelése. A külső felhasználók továbbra is az aktuális identitásukat használják a szervezettel való együttműködéshez.
Tegyük fel például, hogy Giovanna Carvalho külső partnerrel dolgozik a Proseware-nél. A szervezete úgy kezeli az identitását, mint gcarvalho@proseware.com. Ezt az identitást használja a vendégfiókhoz a szervezet Microsoft Entra-azonosítójában. Miután Giovanna beváltotta a vendégfiók meghívását, ugyanazt az identitást (nevet és jelszót) használja a vendégfiókhoz, mint a szervezeténél.
Miért érdemes a Microsoft Entra B2B-t összevonás helyett használni?
A Microsoft Entra B2B nem vállal felelősséget a partnerek hitelesítő adatainak és identitásainak kezeléséért és hitelesítéséért. Partnerei akkor is együttműködhetnek Önnel, ha nincs informatikai részlegük. Együttműködhet például egy olyan alvállalkozóval, aki csak személyes vagy üzleti e-mail-címmel rendelkezik, és nem rendelkezik egy informatikai részleg által felügyelt identitáskezelési megoldással.
A külső felhasználók hozzáférésének biztosítása sokkal egyszerűbb, mint egy összevonásban. Külső felhasználói fiókok létrehozásához és kezeléséhez nincs szükség AD-rendszergazdára. Bármely jogosult felhasználó meghívhat más felhasználókat. A vonalvezetők meghívhatják például a külső felhasználókat, hogy működjenek együtt a csapatukkal. Ha már nincs szükség együttműködésre, egyszerűen eltávolíthatja ezeket a külső felhasználókat.
Az összevonás összetettebb. Az összevonás az a hely, ahol egy másik szervezettel vagy tartománycsoporttal létesített megbízhatósági kapcsolattal rendelkezik az erőforrások egy csoportjához való közös hozzáféréshez. Előfordulhat, hogy olyan helyszíni identitásszolgáltatót és engedélyezési szolgáltatást használ, mint a Active Directory összevonási szolgáltatások (AD FS) (AD FS), amely rendelkezik a Microsoft Entra-azonosítóval megbízhatónak. Az erőforrásokhoz való hozzáféréshez minden felhasználónak meg kell adnia a hitelesítő adatait, és sikeresen hitelesítenie kell magát az AD FS-kiszolgálón. Ha valaki a belső hálózaton kívül próbál hitelesítést végezni, be kell állítania egy webalkalmazás-proxyt. Az architektúra a következő diagramhoz hasonlóan nézhet ki:
A Microsoft Entra-azonosítóval rendelkező helyszíni összevonás akkor lehet jó, ha a szervezet azt szeretné, hogy az Azure-erőforrások hitelesítése a helyi környezetben történjen. Rendszergazda istratorok szigorúbb hozzáférés-vezérlési szinteket implementálhatnak, de ez azt jelenti, hogy ha a helyi környezet nem működik, a felhasználók nem férhetnek hozzá a szükséges Azure-erőforrásokhoz és szolgáltatásokhoz.
A B2B-együttműködéssel a külső csapatok a megfelelő engedélyekkel kapják meg az Azure-erőforrásokhoz és -szolgáltatásokhoz való szükséges hozzáférést. Nincs szükség összevonásra és megbízhatóságra, és a hitelesítés nem függ a helyszíni kiszolgálótól. A hitelesítés közvetlenül az Azure-on keresztül történik. Az együttműködés egyszerűbbé válik, és nem kell aggódnia olyan helyzetek miatt, amikor a felhasználók nem tudnak bejelentkezni, mert egy helyszíni címtár nem érhető el.