Topologie per la collaborazione tra tenant
Le organizzazioni si trovano spesso a gestire più tenant a causa di fusioni e acquisizioni, requisiti normativi o limiti amministrativi. Indipendentemente dallo scenario, Microsoft Entra offre una soluzione flessibile e pronta all'uso per effettuare il provisioning di account tra tenant e facilitare la collaborazione. Microsoft Entra supporta i tre modelli seguenti e può adattarsi alle esigenze aziendali in continua evoluzione.
- Hub-spoke
- Mesh
- Just-In-Time
Hub-spoke
La topologia hub-spoke presenta due modelli comuni:
Opzione 1 (hub applicazioni): in questa opzione è possibile integrare le applicazioni di uso comune in un tenant hub centrale a cui possono accedere gli utenti di tutta l'organizzazione.
Opzione 2 (hub utenti): in alternativa, l'opzione 2 centralizza tutti gli utenti in un singolo tenant e ne effettua il provisioning in tenant spoke in cui vengono gestite le risorse.
Verranno esaminati ora alcuni scenari reali e per vedere come possono essere adattati a ognuno di questi modelli.
Fusioni e acquisizioni (hub applicazioni)
Durante le fusioni e le acquisizioni, la capacità di consentire la collaborazione in tempi brevi è fondamentale, poiché permette alle aziende di operare in modo omogeneo mentre vengono prese decisioni IT complesse. Se, ad esempio, i dipendenti di una società appena acquisita richiedono l'accesso immediato ad applicazioni come il sistema di ticketing dell'help desk interno o l'applicazione dei benefit, la sincronizzazione tra tenant acquisisce un'importanza prioritaria. Questo processo di sincronizzazione consente agli utenti dell'azienda acquisita di eseguire il provisioning nell'hub applicazioni fin dal primo giorno, concedendo loro l'accesso alle app SaaS, alle applicazioni locali e ad altre risorse cloud. All'interno del tenant di destinazione, gli amministratori possono configurare pacchetti di accesso per concedere un accesso a tempo limitato ad applicazioni aggiuntive, ad esempio Salesforce e Amazon Web Services, che contengono dati aziendali critici. Il diagramma seguente mostra i tenant acquisiti di recente nella parte sinistra e gli utenti di cui è stato effettuato il provisioning nel tenant della società padre, che concede agli utenti l'accesso alle risorse necessarie.
Separare i tenant di collaborazione e risorsa (hub utenti)
Quando le organizzazioni ridimensionano l'utilizzo di Azure, spesso creano tenant dedicati per la gestione delle risorse critiche di Azure. Nel frattempo, si basano su un tenant hub centrale per il provisioning degli utenti. Questo modello consente agli amministratori nel tenant hub di stabilire criteri di sicurezza e governance centralizzati, concedendo ai team di sviluppo maggiore autonomia e flessibilità per distribuire le risorse di Azure necessarie. La sincronizzazione tra tenant supporta questa topologia consentendo agli amministratori di effettuare il provisioning di un subset di utenti nei tenant spoke e di gestire il ciclo di vita di tali utenti.
Mesh
Mentre alcune aziende centralizzano gli utenti all'interno di un singolo tenant, altre hanno una struttura più decentralizzata con applicazioni, sistemi di gesteione delle risorse e domini di Active Directory integrati in ogni tenant. La sincronizzazione tra tenant offre la flessibilità necessaria per scegliere gli utenti di cui effettuare il provisioning in ogni tenant.
Collaborare all'interno di una società portfolio (mesh parziale)
In questo scenario, ogni tenant rappresenta una società diversa all'interno della stessa organizzazione padre. Gli amministratori in ogni tenant scelgono un subset di utenti di cui effettuare il provisioning nel tenant di destinazione. Questa soluzione offre flessibilità per il funzionamento indipendente di ogni tenant, semplificando al contempo la collaborazione quando gli utenti devono accedere a risorse critiche.
La sincronizzazione tra tenant è unidirezionale. Un utente membro interno può essere sincronizzato in più tenant come utente esterno. Quando la topologia mostra una sincronizzazione in entrambe le direzioni, si tratta di un set distinto di utenti in ogni direzione e ogni freccia è una configurazione separata.
Collaborare tra business unit (mesh completa)
In questo scenario, l'organizzazione ha designato tenant diversi per ogni business unit. Le business unit collaborano a stretto contatto usando soprattutto Microsoft Teams. Di conseguenza, ogni tenant ha scelto di effettuare il provisioning di tutti gli utenti nei quattro tenant dell'organizzazione. Man mano che nuovi utenti si uniscono alla società o la lasciano, il servizio di provisioning si occupa della creazione o dell'eliminazione degli utenti. L'organizzazione ha configurato anche un'organizzazione multi-tenant in cui sono inclusi tutti e quattro i tenant. Adesso, quando gli utenti devono collaborare in Teams, possono trovare facilmente gli utenti desiderati all'interno dell'azienda e avviare chat e riunioni con tali utenti.
Just-In-Time
Gli scenari sopra illustrati coprono la collaborazione all'interno di un'organizzazione, ma esistono casi in cui è necessaria la collaborazione tra più organizzazioni. Questo potrebbe essere nel contesto di joint venture o organizzazioni di persone giuridiche indipendenti. Usando le organizzazioni connesse e la gestione entitlement, è possibile definire criteri per l'accesso alle risorse tra organizzazioni connesse e consentire agli utenti di richiedere l'accesso alle risorse necessarie.
Joint venture
Si prenda in considerazione Contoso e Litware, organizzazioni separate interessate in una joint venture multi-anno. Devono collaborare a stretto contatto. Gli amministratori di Contoso hanno definito pacchetti di accesso contenenti le risorse richieste dagli utenti di Litware. Quando un nuovo dipendente Litware deve accedere alle risorse di Contoso, può richiedere l'accesso al pacchetto di accesso. Dopo l'approvazione, ne viene effettuato il provisioning con le risorse necessarie. L'accesso può essere a tempo limitato e soggetto a una revisione periodica per garantire la conformità ai requisiti di governance di Contoso.
Il diagramma seguente illustra come due organizzazioni possono collaborare just-in-time usando organizzazioni connesse e la gestione entitlement.
Scenari supportati
La sincronizzazione tra tenant supporta l'importazione di utenti interni nel tenant di origine e il provisioning di utenti esterni nel tenant di destinazione.
| Credenziali del tenant di origine | Tenant di origine userType | Credenziali del tenant di destinazione | Tenant di destinazione userType | Scenario supportato? |
|---|---|---|---|---|
| Interno | Membro | Esterno | Membro | Sì |
| Interno | Membro | Esterno | Guest | Sì |
| Interno | Guest | Esterno | Membro | Sì |
| Interno | Guest | Esterno | Guest | Sì |
| Interno | Membro | Internal | Membro | No |
| Interno | Membro | Internal | Guest | No |
| Interno | Guest | Internal | Membro | No |
| Interno | Guest | Internal | Guest | No |
| Esterno | Membro | Esterno | Membro | No |
| Esterno | Membro | Esterno | Guest | No |
| Esterno | Guest | Esterno | Membro | No |
| Esterno | Guest | Esterno | Guest | No |