Crie resiliência na autenticação de usuários externos
A colaboração Microsoft Entra B2B (Microsoft Entra B2B) é um recurso de Identidades Externas que permite a colaboração com outras organizações e indivíduos. Ele permite a integração segura de usuários convidados em seu locatário do Microsoft Entra sem ter que gerenciar suas credenciais. Os usuários externos trazem suas identidades e credenciais de um provedor de identidade externo (IdP) para que não precisem se lembrar de uma nova credencial.
Formas de autenticar utilizadores externos
Você pode escolher os métodos de autenticação de usuário externo para o seu diretório. Você pode usar Microsoft IdPs ou outros IdPs.
Com cada IdP externo, você depende da disponibilidade desse IdP. Com alguns métodos de conexão com IdPs, há coisas que você pode fazer para aumentar sua resiliência.
Nota
O Microsoft Entra B2B tem a capacidade interna de autenticar qualquer usuário de qualquer locatário do Microsoft Entra ID ou com uma conta pessoal da Microsoft. Você não precisa fazer nenhuma configuração com essas opções internas.
Considerações sobre resiliência com outros IdPs
Quando você usa IdPs externos para autenticação de usuário convidado, há configurações que você deve manter para evitar interrupções.
Método de autenticação | Considerações sobre resiliência |
---|---|
Federação com deslocados internos sociais como Facebook ou Google. | Você deve manter sua conta com o IdP e configurar sua ID do Cliente e Segredo do Cliente. |
Federação do provedor de identidade (IdP) SAML/WS-Fed | Você deve colaborar com o proprietário do IdP para acessar seus pontos de extremidade dos quais você depende. Você deve manter os metadados que contêm os certificados e pontos de extremidade. |
Senha única por e-mail | Você depende do sistema de email da Microsoft, do sistema de email do usuário e do cliente de email do usuário. |
Inscrição self-service
Como alternativa ao envio de convites ou links, você pode habilitar a inscrição de autoatendimento. Esse método permite que usuários externos solicitem acesso a um aplicativo. Você deve criar um conector de API e associá-lo a um fluxo de usuário. Você associa fluxos de usuário que definem a experiência do usuário a um ou mais aplicativos.
É possível usar conectores de API para integrar seu fluxo de usuário de inscrição de autoatendimento com APIs de sistemas externos. Essa integração de API pode ser usada para fluxos de trabalho de aprovação personalizados, execução de verificação de identidade e outras tarefas, como substituir atributos de usuário. O uso de APIs requer que você gerencie as seguintes dependências.
- Autenticação do conector de API: configurar um conector requer uma URL de ponto de extremidade, um nome de usuário e uma senha. Configure um processo pelo qual essas credenciais sejam mantidas e trabalhe com o proprietário da API para garantir que você conheça qualquer cronograma de expiração.
- Resposta do conector da API: projete conectores de API no fluxo de inscrição para falhar normalmente se a API não estiver disponível. Examine e forneça aos desenvolvedores de API esses exemplos de respostas de API e as práticas recomendadas para solução de problemas. Trabalhe com a equipe de desenvolvimento da API para testar todos os cenários de resposta possíveis, incluindo continuação, erro de validação e respostas de bloqueio.
Próximos passos
Recursos de resiliência para administradores e arquitetos
- Construa resiliência com o gerenciamento de credenciais
- Crie resiliência com estados de dispositivo
- Construa resiliência usando a Avaliação de Acesso Contínuo (CAE)
- Crie resiliência em sua autenticação híbrida
- Crie resiliência no acesso ao aplicativo com o Proxy de Aplicativo