在外部使用者驗證中建置復原能力
Microsoft Entra B2B 共同 作業 (Microsoft Entra B2B) 是外部身分識別 的 一項功能,可與其他組織和個人共同作業。 它可讓您將來賓使用者安全上線到您的 Microsoft Entra 租使用者,而不需要管理其認證。 外部使用者會從外部識別提供者 (IdP) 攜帶其身分識別和認證,因此不需要記住新的認證。
驗證外部使用者的方式
您可以選擇目錄的外部使用者驗證方法。 您可以使用 Microsoft IdP 或其他 IdP。
使用每個外部 IdP 時,您會相依于該 IdP 的可用性。 透過連線到 IdP 的一些方法,您可以執行一些動作來增加復原能力。
注意
Microsoft Entra B2B 具有內建功能,能夠驗證來自任何 Microsoft Entra ID 租使用者或個人 Microsoft 帳戶 的任何使用者。 您不需要使用這些內建選項進行任何設定。
其他 IdP 的復原考慮
當您使用外部 IdP 進行來賓使用者驗證時,必須維護的設定以防止中斷。
| 驗證方法 | 復原考慮 |
|---|---|
| 與 Facebook 或 Google 等 社交 IDP 同盟。 | 您必須使用 IdP 維護您的帳戶,並設定用戶端識別碼和用戶端密碼。 |
| SAML/WS-Fed 識別提供者 (IdP) 同盟 | 您必須與 IdP 擁有者共同作業,才能存取相依的端點。 您必須維護包含憑證和端點的中繼資料。 |
| 電子郵件一次性密碼 | 您相依于 Microsoft 的電子郵件系統、使用者的電子郵件系統和使用者的電子郵件客戶程式。 |
自助式註冊
作為傳送邀請或連結的替代方案,您可以啟用 自助式註冊 。 此方法可讓外部使用者要求存取應用程式。 您必須建立 API 連接器 ,並將它與使用者流程產生關聯。 您會將定義使用者體驗的使用者流程與一或多個應用程式產生關聯。
您可以使用 API 連接器 ,將自助式註冊使用者流程與外部系統的 API 整合。 此 API 整合可用於 自訂核准工作流程 、 執行身分識別驗證 ,以及其他工作,例如覆寫使用者屬性。 使用 API 需要您管理下列相依性。
- API 連線or 驗證 :設定連接器需要端點 URL、使用者名稱和密碼。 設定維護這些認證的程式,並與 API 擁有者合作,以確保您知道任何到期排程。
- API 連線or 回應 :如果 API 無法使用,請設計註冊流程中的 API 連線ors,正常失敗。 檢查並提供 API 開發人員的這些 範例 API 回應 ,以及 疑難排解 的最佳做法。 請與 API 開發小組合作,測試所有可能的回應案例,包括接續、驗證錯誤和封鎖回應。