Membangun ketahanan dalam autentikasi pengguna eksternal
Kolaborasi Microsoft Entra B2B (Microsoft Entra B2B) adalah fitur External Identities yang memungkinkan kolaborasi dengan organisasi dan individu lain. Ini memungkinkan onboarding aman pengguna tamu ke penyewa Microsoft Entra Anda tanpa harus mengelola kredensial mereka. Pengguna eksternal membawa identitas dan kredensial mereka bersama mereka dari IdP (IdP) eksternal sehingga mereka tidak perlu mengingat kredensial baru.
Cara untuk mengautentikasi pengguna eksternal
Anda dapat memilih metode autentikasi pengguna eksternal ke direktori. Anda dapat menggunakan IdP Microsoft atau IdP lainnya.
Dengan setiap IdP eksternal, Anda mengambil dependensi pada ketersediaan IdP tersebut. Dengan beberapa metode menyambungkan ke IdP, ada hal-hal yang dapat Anda lakukan untuk meningkatkan ketahanan Anda.
Catatan
Microsoft Entra B2B memiliki kemampuan bawaan untuk mengautentikasi pengguna mana pun dari penyewa ID Microsoft Entra atau dengan Akun Microsoft pribadi. Anda tidak perlu melakukan konfigurasi apa pun dengan opsi bawaan ini.
Pertimbangan untuk ketahanan dengan IdP lain
Saat Anda menggunakan IDP eksternal untuk autentikasi pengguna tamu, ada konfigurasi yang harus Anda pertahankan untuk mencegah gangguan.
| Metode autentikasi | Pertimbangan ketahanan |
|---|---|
| Federasi dengan IDP sosial seperti Facebook atau Google. | Anda harus mempertahankan akun Anda dengan IdP dan mengonfigurasi ID Klien dan Rahasia Klien. |
| Federasi Penyedia Identitas (IdP) SAML/WS-Fed | Anda harus berkolaborasi dengan pemilik IdP untuk akses ke titik akhir mereka yang bergantung pada Anda. Anda harus mempertahankan metadata yang berisi sertifikat dan titik akhir. |
| Kode akses satu-kali alamat email | Anda bergantung pada sistem email Microsoft, sistem email pengguna, dan klien email pengguna. |
Pendaftaran layanan mandiri
Sebagai alternatif untuk mengirim undangan atau tautan, Anda dapat mengaktifkan Pendaftaran layanan mandiri. Metode ini memungkinkan pengguna eksternal untuk meminta akses ke aplikasi. Anda harus membuat konektor API dan mengaitkannya dengan alur pengguna. Anda mengaitkan alur pengguna yang menentukan pengalaman pengguna dengan satu atau beberapa aplikasi.
Dimungkinkan untuk menggunakan konektor API untuk mengintegrasikan alur pengguna pendaftaran layanan mandiri Anda dengan API sistem eksternal. Integrasi API ini dapat digunakan untuk alur kerja persetujuan kustom, melakukan verifikasi identitas, dan tugas lain seperti menimpa atribut pengguna. Menggunakan API mengharuskan Anda mengelola dependensi berikut.
- Autentikasi Konektor API: Menyiapkan konektor memerlukan URL titik akhir, nama pengguna, dan kata sandi. Siapkan proses di mana kredensial ini dipertahankan, dan bekerja sama dengan pemilik API untuk memastikan Anda mengetahui jadwal kedaluwarsa apa pun.
- Respons Konektor API: Mendesain Konektor API dalam alur pendaftaran gagal jika API tidak tersedia. Periksa dan berikan kepada pengembang API Anda contoh respons API ini dan praktik terbaik untuk pemecahan masalah. Bekerja sama dengan tim pengembangan API untuk menguji semua kemungkinan skenario respons, termasuk kelanjutan, kesalahan validasi, dan respons pemblokiran.
Langkah berikutnya
Sumber daya ketahanan untuk admin dan arsitek
- Membangun ketahanan dengan manajemen info masuk
- Membangun ketahanan dengan status perangkat
- Membangun ketahanan dengan menggunakan Evaluasi Akses Berkelanjutan (CAE)
- Membangun ketahanan dalam autentikasi campuran Anda
- Membangun ketahanan dalam akses aplikasi dengan Proksi Aplikasi