Предоставление пользователям Microsoft Entra B2B доступа к локальным приложениям

Как организация, использующая возможности совместной работы Microsoft Entra B2B для приглашения гостевых пользователей из партнерских организаций, теперь вы можете предоставить этим пользователям B2B доступ к локальным приложениям. В таких локальных приложениях нужно использовать проверку подлинности на основе SAML или Встроенную проверку подлинности Windows (IWA) с ограниченным делегированием Kerberos (KCD).

Доступ к приложениям SAML

Если локальное приложение использует проверку подлинности на основе SAML, вы можете легко сделать эти приложения доступными для пользователей совместной работы Microsoft Entra B2B через Центр администрирования Microsoft Entra с помощью прокси приложения Microsoft Entra.

Необходимо выполнить следующие действия:

• Включите Application Proxy и установите соединитель. Инструкции см. в статье "Публикация приложений с помощью прокси приложения Microsoft Entra".
• Опубликуйте локальное приложение на основе SAML через прокси приложения Microsoft Entra, следуя инструкциям в едином входе SAML для локальных приложений с помощью Application Proxy.
• Назначьте пользователям Microsoft Entra B2B приложение SAML.

Когда вы завершите выполнение шагов выше, ваше приложение будет настроено и запущено. Чтобы проверить доступ Microsoft Entra B2B, выполните следующие действия.

1. Введите в адресную строку браузера значение внешнего URL-адреса, которое вы создали при публикации приложения.
2. Войдите с помощью учетной записи Microsoft Entra B2B, назначенной приложению. Вы должны иметь возможность открыть приложение и получить доступ к нему с помощью единого входа.

Доступ к приложениям IWA и KCD

Чтобы предоставить пользователям B2B доступ к локальным приложениям, защищенным с помощью Встроенной проверки подлинности Windows и ограниченного делегирования Kerberos, требуются следующие компоненты:

• Проверка подлинности с помощью прокси приложения Microsoft Entra. Возможность аутентификации пользователей B2B в локальном приложении. Для этого необходимо опубликовать локальное приложение через прокси приложения Microsoft Entra. Дополнительные сведения см. в статье Добавление локального приложения для удаленного доступа через Application Proxy.

• Авторизация через объект пользователя B2B в локальном каталоге. Приложение должно иметь возможность проверять права пользователей и правильно предоставлять им доступ к ресурсам. Встроенная проверка подлинности Windows и ограниченное делегирование Kerberos требуют наличия объекта пользователя в локальном каталоге Active Directory на Windows Server. Как описано в разделе Принцип работы единого входа с применением KCD, прокси приложения использует этот объект пользователя для олицетворения пользователя и получения маркера Kerberos для приложения.

  Примечание.

  При настройке прокси приложения Microsoft Entra убедитесь, что делегированное удостоверение входа имеет имя участника-пользователя (по умолчанию) в конфигурации единого входа для интегрированной проверка подлинности Windows (IWA).

  При работе с пользователями B2B вы можете создать объекты гостевых пользователей, которым нужна авторизация в локальном каталоге, с помощью двух методов:

  • Microsoft Identity Manager (MIM) и агент управления MIM для Microsoft Graph.
  • Скрипт PowerShell, который является более упрощенным решением, которое не требует MIM.

На следующей схеме представлен общий обзор того, как прокси приложения Microsoft Entra и создание объекта пользователя B2B в локальном каталоге совместно предоставляют пользователям B2B доступ к локальным приложениям IWA и KCD. Порядок шагов описан на схеме ниже.

1. В клиент Contoso приглашается пользователь из партнерской организации (из клиента Fabrikam).
2. В клиенте Contoso создается объект гостевого пользователя (например, объект пользователя с именем участника-пользователя guest_fabrikam.com#EXT#@contoso.onmicrosoft.com).
3. Гость Fabrikam импортируется из Contoso через MIM или с помощью скрипта B2B PowerShell.
4. В локальном каталоге Contoso.com с помощью MIM или скрипта B2B PowerShell создается представление объекта гостевого пользователя Fabrikam (Guest#EXT#).
5. Гостевой пользователь обращается к локальному приложению app.contoso.com.
6. Запрос на аутентификацию подтверждается через прокси приложения с применением ограниченного делегирования Kerberos.
7. Так как гостевой пользователь существует в локальной среде, аутентификация происходит успешно.

Политики управления жизненным циклом

Вы можете управлять локальными объектами пользователей B2B с помощью политик управления жизненным циклом. Например:

• Политики многофакторной проверки подлинности (MFA) можно настроить для гостевого пользователя, чтобы MFA использовался во время проверки подлинности прокси приложения. Дополнительные сведения см. в статье Условный доступ пользователей в службе совместной работы B2B.
• К локальным пользователям применяются любые правила спонсорства, проверки доступа, проверки учетных записей и пр., которые определены для облачного пользователя B2B. Например, если пользователь облака удаляется с помощью политик управления жизненным циклом, локальный пользователь также удаляется с помощью службы "Синхронизация MIM" или с помощью скрипта Microsoft Entra B2B. Дополнительные сведения см. в статье "Управление гостевым доступом с помощью проверок доступа Microsoft Entra".

Создание объектов гостевых пользователей B2B с помощью скрипта Microsoft Entra B2B

Вы можете использовать пример скрипта Microsoft Entra B2B для создания теневых учетных записей Microsoft Entra, синхронизированных с учетных записей Microsoft Entra B2B. Затем можно использовать теневые учетные записи для локальных приложений, использующих ограниченное делегирование Kerberos.

Создание объектов гостевых пользователей B2B через MIM

Для создания объектов гостевых пользователей в локальном каталоге можно использовать MIM и соединитель MIM для Microsoft Graph. Дополнительные сведения см. в статье о совместной работе Microsoft Entra business-to-business (B2B) с Microsoft Identity Manager (MIM) 2016 с пакетом обновления 1 (SP1) с помощью прокси-сервера приложение Azure.

Рекомендации по лицензированию

Убедитесь, что у вас есть правильные лицензии клиентского доступа (ЦС) или внешние Подключение or для внешних гостевых пользователей, которые обращаются к локальным приложениям или удостоверениям которых управляются локально. Дополнительные сведения см. в разделе "Лицензии External Connector" статьи Клиентские лицензии и лицензии на управление. Конкретные требования к лицензированию вы можете обсудить с представителем Microsoft или локальным торговым посредником.

Следующие шаги

• Предоставление локальным пользователям доступа к облачным приложениям
• Совместная работа Microsoft Entra B2B для гибридных организаций