Microsoft Entra B2B kullanıcılarına şirket içi uygulamalarınıza erişim izni verme

  • Makale

İş ortağı kuruluşlarından konuk kullanıcıları davet etmek için Microsoft Entra B2B işbirliği özelliklerini kullanan bir kuruluş olarak, artık bu B2B kullanıcılarına şirket içi uygulamalara erişim sağlayabilirsiniz. Bu şirket içi uygulamalar, Kerberos kısıtlanmış temsili (KCD) ile SAML tabanlı kimlik doğrulaması veya tümleşik Windows kimlik doğrulaması (IWA) kullanabilir.

SAML uygulamalarına erişim

Şirket içi uygulamanız SAML tabanlı kimlik doğrulaması kullanıyorsa, Microsoft Entra uygulama ara sunucusunu kullanarak Microsoft Entra yönetim merkezi aracılığıyla bu uygulamaları Microsoft Entra B2B işbirliği kullanıcılarınızın kullanımına kolayca sunabilirsiniz.

Aşağıdakileri yapmanız gerekir:

Yukarıdaki adımları tamamladığınızda uygulamanızın çalışır durumda olması gerekir. Microsoft Entra B2B erişimini test etmek için:

  1. Bir tarayıcı açın ve uygulamayı yayımladığınızda oluşturduğunuz dış URL'ye gidin.
  2. Uygulamaya atadığınız Microsoft Entra B2B hesabıyla oturum açın. Uygulamayı açabilmeniz ve çoklu oturum açma ile uygulamaya erişebilmeniz gerekir.

IWA ve KCD uygulamalarına erişim

B2B kullanıcılarına tümleşik Windows kimlik doğrulaması ve Kerberos kısıtlanmış temsili ile güvenliği sağlanan şirket içi uygulamalara erişim sağlamak için aşağıdaki bileşenlere ihtiyacınız vardır:

  • Microsoft Entra uygulama ara sunucusu aracılığıyla kimlik doğrulaması. B2B kullanıcılarının şirket içi uygulamada kimlik doğrulaması yapabilmesi gerekir. Bunu yapmak için şirket içi uygulamayı Microsoft Entra uygulama ara sunucusu aracılığıyla yayımlamanız gerekir. Daha fazla bilgi için bkz. Öğretici: Uygulama Ara Sunucusu aracılığıyla uzaktan erişim için şirket içi uygulama ekleme.

  • Şirket içi dizindeki B2B kullanıcı nesnesi aracılığıyla yetkilendirme. Uygulamanın kullanıcı erişim denetimleri gerçekleştirebilmesi ve doğru kaynaklara erişim verebilmesi gerekir. IWA ve KCD, bu yetkilendirmeyi tamamlamak için şirket içi Windows Server Active Directory'de bir kullanıcı nesnesi gerektirir. KCD ile çoklu oturum açma nasıl çalışır? bölümünde açıklandığı gibi Uygulama Ara Sunucusu bu kullanıcı nesnesinin kullanıcının kimliğine bürünmesi ve uygulamaya kerberos belirteci alması gerekir.

    Not

    Microsoft Entra uygulama ara sunucusunu yapılandırırken, Tümleşik Windows kimlik doğrulaması (IWA) için çoklu oturum açma yapılandırmasında Temsilci Oturum Açma Kimliği'nin Kullanıcı asıl adı (varsayılan) olarak ayarlandığından emin olun.

    B2B kullanıcı senaryosunda, şirket içi dizinde yetkilendirme için gereken konuk kullanıcı nesnelerini oluşturmak için kullanabileceğiniz iki yöntem vardır:

    • Microsoft Identity Manager (MIM) ve Microsoft Graph için MIM yönetim aracısı.
    • MIM gerektirmeyen daha basit bir çözüm olan PowerShell betiği.

Aşağıdaki diyagramda, B2B kullanıcılarına şirket içi IWA ve KCD uygulamalarınıza erişim izni vermek için Microsoft Entra uygulama proxy'si ve şirket içi dizinde B2B kullanıcı nesnesinin oluşturulmasının birlikte nasıl çalıştığına ilişkin üst düzey bir genel bakış sağlanır. Numaralandırılmış adımlar diyagramın altında ayrıntılı olarak açıklanmıştır.

Diagram of MIM and B2B script solutions.

  1. İş ortağı kuruluşundan (Fabrikam kiracısı) bir kullanıcı Contoso kiracısına davet edilir.
  2. Contoso kiracısında bir konuk kullanıcı nesnesi oluşturulur (örneğin, guest_fabrikam.com#EXT#@contoso.onmicrosoft.com UPN'sine sahip bir kullanıcı nesnesi).
  3. Fabrikam konuğu Contoso'dan MIM veya B2B PowerShell betiği aracılığıyla içeri aktarılır.
  4. Fabrikam konuk kullanıcı nesnesinin (Guest#EXT#) gösterimi veya "ayak izi", şirket içi dizinde Contoso.com, MIM aracılığıyla veya B2B PowerShell betiği aracılığıyla oluşturulur.
  5. Konuk kullanıcı, app.contoso.com şirket içi uygulamaya erişir.
  6. Kimlik doğrulama isteği, Kerberos kısıtlanmış temsili kullanılarak Uygulama Ara Sunucusu aracılığıyla yetkilendirildi.
  7. Konuk kullanıcı nesnesi yerel olarak mevcut olduğundan kimlik doğrulaması başarılı olur.

Yaşam döngüsü yönetimi ilkeleri

Şirket içi B2B kullanıcı nesnelerini yaşam döngüsü yönetimi ilkeleri aracılığıyla yönetebilirsiniz. Örneğin:

  • MFA'nın Uygulama Ara Sunucusu kimlik doğrulaması sırasında kullanılması için Konuk kullanıcı için çok faktörlü kimlik doğrulaması (MFA) ilkeleri ayarlayabilirsiniz. Daha fazla bilgi için bkz . B2B işbirliği kullanıcıları için Koşullu Erişim.
  • Bulut B2B kullanıcısı üzerinde gerçekleştirilen tüm sponsorluklar, erişim gözden geçirmeleri, hesap doğrulamaları vb. şirket içi kullanıcılar için geçerlidir. Örneğin, bulut kullanıcısı yaşam döngüsü yönetimi ilkeleriniz aracılığıyla silinirse, şirket içi kullanıcı MIM Sync veya Microsoft Entra B2B betiği aracılığıyla da silinir. Daha fazla bilgi için bkz . Microsoft Entra erişim gözden geçirmeleriyle konuk erişimini yönetme.

Microsoft Entra B2B betiği aracılığıyla B2B konuk kullanıcı nesneleri oluşturma

Microsoft Entra B2B hesaplarından eşitlenen gölge Microsoft Entra hesapları oluşturmak için Bir Microsoft Entra B2B örnek betiği kullanabilirsiniz. Ardından KCD kullanan şirket içi uygulamalar için gölge hesapları kullanabilirsiniz.

MIM aracılığıyla B2B konuk kullanıcı nesneleri oluşturma

Microsoft Graph için MIM ve MIM bağlayıcısını kullanarak şirket içi dizinde konuk kullanıcı nesneleri oluşturabilirsiniz. Daha fazla bilgi edinmek için bkz. Azure Uygulaması lication Proxy ile Microsoft Identity Manager (MIM) 2016 SP1 ile Microsoft Entra işletmeler arası (B2B) işbirliği.

Lisansla ilgili dikkat edilmesi gerekenler

Şirket içi uygulamalara erişen veya kimlikleri şirket içinde yönetilen dış konuk kullanıcılar için doğru İstemci Erişim Lisanslarına (CAL) veya Dış Bağlan sahip olduğunuzdan emin olun. Daha fazla bilgi için İstemci Erişim Lisansları ve Yönetim Lisansları'nın "Dış Bağlan orlar" bölümüne bakın. Belirli lisanslama gereksinimlerinizle ilgili olarak Microsoft temsilcinize veya yerel kurumsal bayinize başvurun.

Sonraki adımlar