Повышение устойчивости при проверке подлинности внешних пользователей
Совместная работа Microsoft Entra B2B (Microsoft Entra B2B) — это функция внешних удостоверений, которая обеспечивает совместную работу с другими организациями и отдельными лицами. Он позволяет безопасно подключить гостевых пользователей к клиенту Microsoft Entra без необходимости управлять учетными данными. Внешние пользователи привезли с собой удостоверение и учетные данные из внешнего поставщика удостоверений (IdP), чтобы не запоминать новые учетные данные.
Способы проверки подлинности внешних пользователей
Выбрать методы проверки подлинности внешних пользователей можно в своем каталоге. Вы можете использовать поставщики удостоверений Майкрософт или других производителей.
При использовании внешнего поставщика удостоверений необходимо учитывать его доступность. Некоторые методы подключения к поставщикам удостоверений предусматривают возможность повышения устойчивости.
Примечание.
Microsoft Entra B2B имеет встроенную возможность проверки подлинности любого пользователя из любого клиента Идентификатора Microsoft Entra или с помощью личной учетной записи Майкрософт. Эти встроенные возможности не требуют настройки.
Рекомендации по устойчивости при использовании других поставщиков удостоверений
При использовании внешних поставщиков удостоверений для проверки подлинности гостевых пользователей существуют конфигурации, которые необходимо сохранить, чтобы предотвратить нарушения.
| Метод проверки подлинности | Рекомендации по устойчивости |
|---|---|
| Федерация с поставщиками удостоверений социальных сетей, таких как Facebook или Google. | Необходимо поддерживать вашу учетную запись у поставщика удостоверений и настроить идентификатор и секрет клиента. |
| Федерация поставщика удостоверений SAML/WS-Fed (IdP) | Необходимо сотрудничать с владельцем поставщика удостоверений для доступа к конечным точкам, от которых вы зависите. Вам потребуется поддерживать метаданные, содержащие сертификаты и конечные точки. |
| Отправка одноразового секретного кода по электронной почте | Вы зависите от почтовой системы Майкрософт, почтовой системы пользователя и клиента электронной почты пользователя. |
Самостоятельная регистрация
Вместо отправки приглашений и ссылок можно включить самостоятельную регистрацию. Этот метод позволяет внешним пользователям запрашивать доступ к приложению. Необходимо создать соединитель API и сопоставить его с потоком пользователей. Вы сопоставляете потоки пользователей, определяющие взаимодействие пользователей с одним или несколькими приложениями.
Соединители API можно использовать для интеграции пользовательского потока самостоятельной регистрации с API внешних систем. Эту интеграцию API можно использовать для настраиваемых утвержденных рабочих процессов, проверки личности и других задач, таких как перезапись атрибутов пользователя. Для использования API необходимо управлять следующими зависимостями.
- Проверка подлинности соединителя API: для настройки соединителя требуется URL-адрес конечной точки, имя пользователя и пароль. Настройте процесс поддержки этих учетных данных и обратитесь к владельцу API, чтобы получить расписание сроков действия.
- Ответ соединителя API: соединители API для процесса регистрации должны быть настроены так, чтобы корректно обрабатывать отказ, если API недоступен. Изучите и предоставьте своим разработчикам API эти примеры ответов API, а также рекомендации по устранению неполадок. Совместно с командой разработки API протестируйте все возможные сценарии ответов, включая продолжение работы, ошибки проверки и блокировки.
Следующие шаги
Ресурсы по устойчивости для администраторов и архитекторов
- Обеспечение устойчивости путем управления учетными данными
- Повышение устойчивости с использованием состояний устройств
- Повышение устойчивости с использованием Непрерывной оценки доступа (CAE)
- Обеспечение устойчивости гибридной проверки подлинности
- Повышение устойчивости доступа к приложениям с помощью Application Proxy