外部ユーザー認証の回復性を強化する
Microsoft Entra B2B コラボレーション (Microsoft Entra B2B) は、他の組織や個人との共同作業を可能にする外部 ID の機能です。 これにより、資格情報を管理することなく、ゲスト ユーザーを Microsoft Entra テナントに安全にオンボードすることができます。 外部ユーザーは、外部 ID プロバイダー (IdP) から ID と資格情報を取得するため、新しい資格情報を覚える必要がありません。
外部ユーザーを認証する方法
お使いのディレクトリに対する外部ユーザー認証の方法を選択できます。 Microsoft IdP または他の IdP を使用できます。
どの外部 IdP を使用しても、その IdP の可用性に依存することになります。 IdP に接続するいくつかの方法を使用して、回復性を向上させるためにできることがあります。
Note
Microsoft Entra B2B には、任意の Microsoft Entra ID テナントから、または個人用 Microsoft アカウントを使って、任意のユーザーを認証する組み込みの機能があります。 これらの組み込みオプションを使用して構成を行う必要はありません。
他の IdP を使用した回復性に関する考慮事項
ゲスト ユーザーの認証に外部 IdP を使用する場合、中断を防ぐために管理する必要がある構成があります。
| 認証方法 | 回復性に関する考慮事項 |
|---|---|
| Facebook や Google などのソーシャル IDP とのフェデレーション。 | その IdP でアカウントを管理し、クライアント ID とクライアント シークレットを構成する必要があります。 |
| SAML/WS-Fed ID プロバイダー (IdP) フェデレーション | 自分が依存している IdP 所有者のエンドポイントにアクセスするために、その所有者と連携する必要があります。 証明書とエンドポイントを含むメタデータを管理する必要があります。 |
| ワンタイム パスコードの電子メール送信 | Microsoft の電子メール システム、ユーザーの電子メール システム、およびユーザーの電子メール クライアントに依存します。 |
セルフサービス サインアップ
招待またはリンクを送信する代わりに、セルフサービス サインアップを有効にすることができます。 この方法により、外部ユーザーがアプリケーションへのアクセスをリクエストできるようになります。 API コネクタを作成し、それをユーザー フローに関連付ける必要があります。 ユーザー エクスペリエンスを定義するユーザー フローを 1 つ以上のアプリケーションに関連付けます。
API コネクタを使用して、セルフサービス サインアップ ユーザー フローを外部システムの API と統合することができます。 この API 統合は、カスタム承認ワークフロー、本人確認の実行、およびユーザー属性の上書きなどのその他のタスクに使用できます。 API を使用するには、次の依存関係を管理する必要があります。
- API コネクタの認証:コネクタの設定には、エンドポイント URL、ユーザー名、パスワードが必要です。 これらの資格情報が管理されるプロセスを設定し、API 所有者と協力して、有効期限のスケジュールについて確実に把握するようにします。
- API コネクタの応答:API が使用できない場合に正常に失敗するように、サインアップ フロー内に API コネクタを設計します。 これらのAPI 応答の例とトラブルシューティングのベスト プラクティスを調べて、API 開発者に提供します。 API 開発チームと協力して、継続、検証エラー、ブロックの各応答を含む、考えられるすべての応答シナリオをテストします。
次のステップ
管理者とアーキテクト向けの回復性に関するリソース
- 資格情報管理を使用して回復性を強化する
- デバイスの状態を使用して回復性を強化する
- 継続的アクセス評価 (CAE) を使用して回復性を強化する
- ハイブリッド認証で回復性を強化する
- アプリケーション プロキシを使用したアプリケーション アクセスで回復性を強化する