Criar resiliência na autenticação de usuário externo
Colaboração B2B do Microsoft Entra (Microsoft Entra B2B) é um recurso de Identidades Externas que permite a colaboração com outras organizações e indivíduos. Ele permite a integração segura de usuários convidados no locatário do Microsoft Entra sem precisar gerenciar as respectivas credenciais. Os usuários externos trazem suas identidade e credenciais com eles de um IdP (provedor de identidade externo), para que eles não precisem lembrar de uma nova credencial.
Maneiras de autenticar usuários externos
Você pode escolher os métodos de autenticação de usuário externo para seu diretório. Você pode usar IdPs da Microsoft ou outros IdPs.
Com cada IdP externo, você assume uma dependência da disponibilidade desse IdP. Com alguns métodos de conexão aos IdPs, há coisas que você pode fazer para aumentar sua resiliência.
Observação
O Microsoft Entra B2B tem a capacidade interna de autenticar qualquer usuário de qualquer locatário do Azure Active Directory ou com uma Conta da Microsoft pessoal. Você não precisa fazer nenhuma configuração com essas opções internas.
Considerações sobre resiliência com outros IdPs
Ao usar o IdPs externos para autenticação de usuário convidado, você deve manter algumas configurações para evitar interrupções.
| Método de autenticação | Considerações sobre resiliência |
|---|---|
| Federação com IDPs sociais, como Facebook ou Google. | Você deve manter sua conta com o IdP e configurar a ID do Cliente e o Segredo do Cliente. |
| Federação do IdP SAML/WS-Fed | Você deve colaborar com o proprietário do IdP para acessar os pontos de extremidade dele, dos quais você é dependente. Você deve manter os metadados que contêm os certificados e pontos de extremidade. |
| Enviar senha de uso único por email | Você é dependente do sistema de email da Microsoft, do sistema de email do usuário e do cliente de email do usuário. |
Inscrição por autoatendimento
Como alternativa ao envio de convites ou links, você pode habilitar Inscrição por autoatendimento. Esse método permite que usuários externos solicitem acesso a um aplicativo. Você deve criar um conector de API e associá-lo a um fluxo de usuário. Você associa fluxos de usuário que definem a experiência do usuário com um ou mais aplicativos.
É possível usar conectores de API para integrar fluxo de usuários de inscrição por autoatendimento às APIs dos sistemas externos. Essa integração de API pode ser usada para fluxos de trabalho de aprovação personalizados, execução de verificação de identidade e outras tarefas, como substituir atributos de usuário. O uso de APIs requer que você gerencie as dependências a seguir.
- Autenticação do Conector de API: a configuração de um conector requer uma URL de ponto de extremidade, um nome de usuário e uma senha. Configure um processo pelo qual essas credenciais são mantidas e trabalhe com o proprietário da API para garantir que você tenha conhecimento de qualquer agendamento de expiração.
- Resposta do Conector de API: criar Conectores de API no fluxo de inscrição para falhar normalmente se a API não estiver disponível. Examine e forneça aos desenvolvedores de API esses exemplos de respostas de API e as melhores práticas para solucionar problemas. Trabalhe com a equipe de desenvolvimento de API para testar todos os cenários de resposta possíveis, incluindo continuação, erro de validação e respostas de bloqueio.
Próximas etapas
Recursos de resiliência para administradores e arquitetos
- Criar resiliência com o gerenciamento de credenciais
- Criar resiliência com os Estados do dispositivo
- Criar resiliência usando a Avaliação contínua de acesso (CAE)
- Criar resiliência na autenticação híbrida
- Criar resiliência no acesso do aplicativo com o Proxy de Aplicativo