Concedere agli utenti di Microsoft Entra B2B l'accesso alle applicazioni locali

Si applica a: Tenant esterni della forza lavoro (altre informazioni)

In qualità di organizzazione che usa le funzionalità di collaborazione B2B di Microsoft Entra per invitare utenti guest da organizzazioni partner, è ora possibile fornire a questi utenti B2B l'accesso alle app locali. Queste app locali possono usare l'autenticazione basata su SAML o l'autenticazione di Windows integrata (IWA) con delega vincolata Kerberos (KCD).

Accesso alle app SAML

Se l'app locale usa l'autenticazione basata su SAML, è possibile rendere facilmente disponibili queste app agli utenti di Collaborazione B2B di Microsoft Entra tramite l'interfaccia di amministrazione di Microsoft Entra usando il proxy dell'applicazione Microsoft Entra.

Eseguire le operazioni seguenti:

• Abilitare il proxy di applicazione e installare un connettore. Per istruzioni, vedere Pubblicare applicazioni con il proxy dell'applicazione Microsoft Entra.
• Pubblicare l'applicazione basata su SAML locale tramite il proxy dell'applicazione Microsoft Entra seguendo le istruzioni riportate in Single Sign-On SAML per le applicazioni locali con Application Proxy.
• Assegnare gli utenti di Microsoft Entra B2B all'applicazione SAML.

Dopo aver completato i passaggi precedenti, l'app dovrebbe essere operativa. Per testare l'accesso a Microsoft Entra B2B:

1. Aprire un browser e passare all'URL esterno creato al momento della pubblicazione dell'app.
2. Accedere con l'account Microsoft Entra B2B assegnato all'app. Dovrebbe essere possibile aprire l'app e accedervi con Single Sign-On.

Accesso alle app di autenticazione integrata di Windows e delega vincolata Kerberos

Per fornire agli utenti B2B l'accesso alle applicazioni locali protette con autenticazione di Windows integrato e delega vincolata Kerberos, sono necessari i componenti seguenti:

• Autenticazione tramite il proxy dell'applicazione Microsoft Entra. Gli utenti B2B devono poter eseguire l'autenticazione nell'applicazione locale. A tale scopo, è necessario pubblicare l'app locale tramite il proxy dell'applicazione Microsoft Entra. Per altre informazioni, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite application proxy.

• Autorizzazione tramite un oggetto utente B2B nella directory locale. L'applicazione deve poter eseguire i controlli di accesso utente e concedere l'accesso alle risorse corrette. L'autenticazione integrata di Windows e la delega vincolata Kerberos richiedono un oggetto utente nell'istanza locale di Windows Server Active Directory per completare l'autorizzazione. Come descritto in Funzionamento di Single Sign-On con KCD, Application Proxy richiede questo oggetto utente per rappresentare l'utente e ottenere un token Kerberos per l'app.

  Nota

  Quando si configura il proxy dell'applicazione Microsoft Entra, assicurarsi che l'identità accesso delegato sia impostata su Nome entità utente (impostazione predefinita) nella configurazione dell'accesso Single Sign-On per l'integrazione di autenticazione di Windows (IWA).

  Per lo scenario utente B2B, è possibile usare due metodi per creare gli oggetti utente guest necessari per l'autorizzazione nella directory locale:

  • Microsoft Identity Manager (MIM) e l'agente di gestione MIM per Microsoft Graph.
  • Uno script di PowerShell, una soluzione più leggera che non richiede MIM.

Il diagramma seguente offre una panoramica generale del modo in cui microsoft Entra application proxy e la generazione dell'oggetto utente B2B nella directory locale interagiscono per concedere agli utenti B2B l'accesso alle app IWA e KCD locali. I passaggi numerati sono descritti in dettaglio nel diagramma seguente.

1. Un utente di un'organizzazione partner (tenant Fabrikam) viene invitato nel tenant Contoso.
2. Un oggetto utente guest viene creato nel tenant contoso, ad esempio un oggetto utente con un UPN di guest_fabrikam.com#EXT#@contoso.onmicrosoft.com.
3. Il guest Fabrikam viene importato da Contoso tramite MIM o tramite lo script di PowerShell B2B.
4. Una rappresentazione, o "footprint", dell'oggetto utente guest Fabrikam (Guest#EXT#) viene creata nella directory locale, Contoso.com, tramite MIM o tramite lo script di PowerShell B2B.
5. L'utente guest accede all'applicazione locale, app.contoso.com.
6. La richiesta di autenticazione è autorizzata tramite Application Proxy, usando la delega vincolata Kerberos.
7. Poiché l'oggetto utente guest si trova in locale, l'autenticazione ha esito positivo.

Criteri di gestione del ciclo di vita

È possibile gestire gli oggetti utente B2B locali tramite i criteri di gestione del ciclo di vita. Ad esempio:

• È possibile configurare i criteri di autenticazione a più fattori (MFA) per l'utente guest in modo che l'autenticazione MFA venga usata durante l'autenticazione del proxy di applicazione. Per altre informazioni, vedere Accesso condizionale per gli utenti di Collaborazione B2B.
• Qualsiasi sponsorizzazione, verifica di accesso, verifica dell'account e così via eseguita per l'utente B2B cloud si applica agli utenti locali. Ad esempio, se l'utente cloud viene eliminato tramite i criteri di gestione del ciclo di vita, l'utente locale viene eliminato anche dalla sincronizzazione MIM o tramite lo script Microsoft Entra B2B. Per altre informazioni, vedere Gestire l'accesso guest con le verifiche di accesso di Microsoft Entra.

Creare oggetti utente guest B2B tramite uno script B2B di Microsoft Entra

È possibile usare uno script di esempio Microsoft Entra B2B per creare account Microsoft Entra shadow sincronizzati da account Microsoft Entra B2B. È quindi possibile usare gli account shadow per le app locali che usano KCD.

Creare oggetti utente guest B2B con MIM

È possibile usare MIM e il connettore MIM per Microsoft Graph per creare gli oggetti utente guest nella directory locale. Per altre informazioni, vedere Collaborazione B2B (Microsoft Entra business-to-business) con Microsoft Identity Manager (MIM) 2016 SP1 con app Azure lication Proxy.

Considerazioni sulle licenze

Assicurarsi di avere le licenze CAL (Client Access License) corrette o gli Connessione or esterni per gli utenti guest esterni che accedono alle app locali o alle cui identità sono gestite in locale. Per altre informazioni, vedere la sezione relativa ai connettori esterni in Client Access Licenses and Management Licenses (Licenze di gestione e CAL). Per le esigenze di licenze specifiche, rivolgersi al rappresentante Microsoft o al rivenditore locale.

Passaggi successivi

• Concedere l'accesso alle app cloud agli utenti locali
• Collaborazione B2B di Microsoft Entra per organizzazioni ibride