Udzielanie użytkownikom usługi Microsoft Entra B2B dostępu do aplikacji lokalnych

Jako organizacja, która korzysta z funkcji współpracy firmy Microsoft Entra B2B w celu zapraszania użytkowników-gości z organizacji partnerskich, możesz teraz zapewnić tym użytkownikom B2B dostęp do aplikacji lokalnych. Te aplikacje lokalne mogą używać uwierzytelniania opartego na protokole SAML lub zintegrowanego uwierzytelniania systemu Windows (IWA) z ograniczonym delegowaniem Protokołu Kerberos (KCD).

Dostęp do aplikacji SAML

Jeśli aplikacja lokalna korzysta z uwierzytelniania opartego na protokole SAML, możesz łatwo udostępnić te aplikacje użytkownikom współpracy firmy Microsoft Entra B2B za pośrednictwem centrum administracyjnego firmy Microsoft Entra przy użyciu serwera proxy aplikacji Microsoft Entra.

Należy wykonać następujące czynności:

Po wykonaniu powyższych kroków aplikacja powinna być uruchomiona. Aby przetestować dostęp do usługi Microsoft Entra B2B:

  1. Otwórz przeglądarkę i przejdź do zewnętrznego adresu URL utworzonego podczas publikowania aplikacji.
  2. Zaloguj się przy użyciu konta Microsoft Entra B2B przypisanego do aplikacji. Powinno być możliwe otwarcie aplikacji i uzyskanie do niej dostępu przy użyciu logowania jednokrotnego.

Dostęp do aplikacji IWA i KCD

Aby zapewnić użytkownikom B2B dostęp do aplikacji lokalnych zabezpieczonych za pomocą zintegrowanego uwierzytelniania systemu Windows i ograniczonego delegowania Protokołu Kerberos, potrzebne są następujące składniki:

  • Uwierzytelnianie za pośrednictwem serwera proxy aplikacji Entra firmy Microsoft. Użytkownicy B2B muszą mieć możliwość uwierzytelniania w aplikacji lokalnej. W tym celu należy opublikować aplikację lokalną za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Samouczek: dodawanie aplikacji lokalnej na potrzeby dostępu zdalnego za pośrednictwem serwer proxy aplikacji.

  • Autoryzacja za pośrednictwem obiektu użytkownika B2B w katalogu lokalnym. Aplikacja musi mieć możliwość przeprowadzania kontroli dostępu użytkowników i udzielania dostępu do odpowiednich zasobów. IWA i KCD wymagają obiektu użytkownika w lokalnej usłudze Active Directory systemu Windows Server w celu ukończenia tej autoryzacji. Zgodnie z opisem w temacie Jak działa logowanie jednokrotne w usłudze KCD, serwer proxy aplikacji potrzebuje tego obiektu użytkownika do personifikacji użytkownika i uzyskania tokenu Kerberos do aplikacji.

    Uwaga

    Podczas konfigurowania serwera proxy aplikacji Microsoft Entra upewnij się, że tożsamość logowania delegowanego jest ustawiona na główną nazwę użytkownika (domyślną) w konfiguracji logowania jednokrotnego na potrzeby zintegrowanego uwierzytelniania systemu Windows (IWA).

    W scenariuszu użytkownika B2B istnieją dwie metody, których można użyć do utworzenia obiektów użytkownika-gościa wymaganych do autoryzacji w katalogu lokalnym:

    • Program Microsoft Identity Manager (MIM) i agent zarządzania programu MIM dla programu Microsoft Graph.
    • Skrypt programu PowerShell, który jest bardziej uproszczonym rozwiązaniem, które nie wymaga programu MIM.

Poniższy diagram zawiera ogólne omówienie sposobu, w jaki serwer proxy aplikacji Firmy Microsoft Entra oraz generowanie obiektu użytkownika B2B w katalogu lokalnym współpracują ze sobą w celu udzielenia użytkownikom B2B dostępu do lokalnych aplikacji IWA i KCD. Ponumerowane kroki zostały szczegółowo opisane poniżej diagramu.

Diagram of MIM and B2B script solutions.

  1. Użytkownik z organizacji partnerskiej (dzierżawy firmy Fabrikam) jest zapraszany do dzierżawy firmy Contoso.
  2. Obiekt użytkownika-gościa jest tworzony w dzierżawie firmy Contoso (na przykład obiekt użytkownika z nazwą UPN guest_fabrikam.com#EXT#@contoso.onmicrosoft.com).
  3. Gość Fabrikam jest importowany z firmy Contoso za pośrednictwem programu MIM lub za pośrednictwem skryptu programu PowerShell B2B.
  4. Reprezentacja lub "ślad" obiektu użytkownika-gościa firmy Fabrikam (Guest#EXT#) jest tworzona w katalogu lokalnym, Contoso.com za pośrednictwem programu MIM lub skryptu programu PowerShell B2B.
  5. Użytkownik-gość uzyskuje dostęp do aplikacji lokalnej app.contoso.com.
  6. Żądanie uwierzytelniania jest autoryzowane za pośrednictwem serwer proxy aplikacji przy użyciu ograniczonego delegowania Protokołu Kerberos.
  7. Ponieważ obiekt użytkownika-gościa istnieje lokalnie, uwierzytelnianie zakończy się pomyślnie.

Zasady zarządzania cyklem życia

Lokalne obiekty użytkowników B2B można zarządzać za pomocą zasad zarządzania cyklem życia. Na przykład:

  • Możesz skonfigurować zasady uwierzytelniania wieloskładnikowego (MFA) dla użytkownika-gościa, aby uwierzytelnianie wieloskładnikowe było używane podczas uwierzytelniania serwer proxy aplikacji. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy dla użytkowników współpracy B2B.
  • Wszystkie dostępy sponsorowane, przeglądy dostępu, weryfikacje konta itp., które są wykonywane w chmurze B2B użytkownika, mają zastosowanie do użytkowników lokalnych. Jeśli na przykład użytkownik chmury zostanie usunięty za pomocą zasad zarządzania cyklem życia, użytkownik lokalny zostanie również usunięty przez program MIM Sync lub za pośrednictwem skryptu Microsoft Entra B2B. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem gościa za pomocą przeglądów dostępu firmy Microsoft Entra.

Tworzenie obiektów użytkownika-gościa B2B za pomocą skryptu firmy Microsoft Entra B2B

Możesz użyć przykładowego skryptu microsoft Entra B2B, aby utworzyć konta microsoft Entra zsynchronizowane z kont Microsoft Entra B2B. Następnie możesz użyć kont w tle dla aplikacji lokalnych korzystających z KCD.

Tworzenie obiektów użytkownika-gościa B2B za pomocą programu MIM

Możesz użyć programu MIM i łącznika programu MIM dla programu Microsoft Graph, aby utworzyć obiekty użytkownika-gościa w katalogu lokalnym. Aby dowiedzieć się więcej, zobacz Microsoft Entra business-to-business (B2B) collaboration with Microsoft Identity Manager (MIM) 2016 SP1 with aplikacja systemu Azure Proxy (Współpraca z programem Microsoft Identity Manager (MIM) 2016 z dodatkiem SP1.

Zagadnienia dotyczące licencji

Upewnij się, że masz odpowiednie licencje dostępu klienta (CALS) lub zewnętrzne Połączenie dla zewnętrznych użytkowników-gości, którzy uzyskują dostęp do aplikacji lokalnych lub których tożsamości są zarządzane lokalnie. Aby uzyskać więcej informacji, zobacz sekcję "Zewnętrzne Połączenie ors" w temacie Licencje dostępu klienta i licencje zarządzania. Skontaktuj się z przedstawicielem firmy Microsoft lub lokalnym odsprzedawcą w zakresie konkretnych potrzeb licencjonowania.

Następne kroki