Распространенные решения для мультитенантного управления пользователями

Эта статья является четвертой в серии статей, которые предоставляют рекомендации по настройке и управлению жизненным циклом пользователей в мультитенантных средах Microsoft Entra. В следующих статьях серии приведены дополнительные сведения, как описано ниже.

• Введение в многотенантное управление пользователями является первым в серии.
• Многотенантные сценарии управления пользователями описывают три сценария, для которых можно использовать мультитенантные функции управления пользователями: инициированные пользователем, скрипты и автоматизированные.
• Общие рекомендации по управлению мультитенантными пользователями содержат рекомендации по следующим вопросам: синхронизация между клиентами, объект каталога, условный доступ Microsoft Entra, дополнительный контроль доступа и Office 365.

Это руководство помогает обеспечить согласованное состояние управления жизненным циклом пользователей. Управление жизненным циклом включает подготовку, управление и отмену подготовки пользователей между клиентами с помощью доступных средств Azure, включая совместную работу Microsoft Entra B2B (B2B) и синхронизацию между клиентами.

Корпорация Майкрософт рекомендует один клиент везде, где это возможно. Если один клиент не работает для вашего сценария, обратитесь к следующим решениям, которые клиенты Майкрософт успешно реализовали для этих проблем:

• Автоматическое управление жизненным циклом пользователей и распределение ресурсов между клиентами
• Совместное использование локальных приложений в нескольких арендаторах

Автоматическое управление жизненным циклом пользователей и распределение ресурсов между клиентами

Клиент приобретает конкурента, с которыми ранее были тесные деловые отношения. Организации хотят поддерживать свои корпоративные удостоверения.

Текущее состояние

В настоящее время организации синхронизируют пользователей друг друга как объекты почтового контакта, чтобы они отображались в каталогах друг друга. Каждый клиент ресурсов включил объекты контактов почты для всех пользователей в другом клиенте. В клиентах доступ к приложениям невозможен.

Цели

Клиент имеет следующие цели.

• Каждый пользователь отображается в gal каждой организации.
  • Изменения жизненного цикла учетной записи пользователя в главном арендаторе автоматически отражаются в GAL арендатора ресурсов.
  • Изменения атрибутов в домашних клиентах (например, отделе, имени, адресе SMTP) автоматически отражаются в клиенте ресурсов GAL и домашней gal.
• Пользователи могут получать доступ к приложениям и ресурсам в арендаторе ресурсов.
• Пользователи могут самостоятельно обслуживать запросы на доступ к ресурсам.

Архитектура решения

Организации используют архитектуру типа "точка — точка" с подсистемой синхронизации, например Microsoft Identity Manager (MIM). На следующей схеме показан пример архитектуры типа "точка — точка" для этого решения.

Заголовок схемы: решение архитектуры "точка — точка". Слева поле с меткой "Компания A" содержит внутренних пользователей и внешних пользователей. Справа поле с меткой "Компания B" содержит внутренних пользователей и внешних пользователей. Между компанией A и Company B взаимодействие подсистем синхронизации переходит от компании A к компании B и от компании B к компании A.

Каждый администратор клиента выполняет следующие действия, чтобы создать объекты пользователя.

1. Убедитесь, что их пользовательская база данных обновлена.
2. Развертывает и настраивает MIM:
   1. обращение к существующим объектам контактов;
   2. Создайте объекты внешних пользователей-участников для внутренних пользователей другого клиента.
   3. синхронизация атрибутов объектов пользователей.
3. Развертывает и настраивает пакеты для доступа к управлению правами:
   1. Общие ресурсы.
   2. Срок действия и проверка доступа.

Совместное использование локальных приложений в нескольких арендаторах

Клиенту с несколькими одноранговым организациям необходимо предоставить общий доступ к локальным приложениям из одного из клиентов.

Текущее состояние

Одноранговые организации синхронизируют внешних пользователей в топологии сетки, что позволяет распределять ресурсы в облачные приложения между клиентами. Клиент предлагает следующие функциональные возможности.

• Совместное использование приложений в идентификаторе Microsoft Entra.
• Автоматическое управление жизненным циклом пользователей в клиенте ресурсов на домашнем клиенте (отражающее добавление, изменение и удаление).

На следующей схеме показан этот сценарий, где только внутренние пользователи в локальных приложениях компании A для доступа компании A.

Заголовок схемы: топология сетки. В левом верхнем углу поле с меткой "Компания A" содержит внутренних пользователей и внешних пользователей. В правом верхнем углу поле "Компания B" содержит внутренних пользователей и внешних пользователей. В левом нижнем углу поле с меткой "Компания C" содержит внутренних пользователей и внешних пользователей. В правом нижнем углу поле с меткой "Компания D" содержит внутренних пользователей и внешних пользователей. Между компанией A и Company B и между Company C и Company D взаимодействие подсистем синхронизации происходит между компаниями слева и компаниями справа.

Цели

Наряду с текущими функциями они хотят предложить следующие возможности.

• Предоставление доступа к локальным ресурсам компании A для внешних пользователей.
• Приложения с проверкой подлинности языка разметки утверждений безопасности (SAML).
• Приложения с интегрированной проверкой подлинности Windows и Kerberos.

Архитектура решения

Компания A предоставляет единый вход для локальных приложений для собственных внутренних пользователей, использующих приложение Azure Proxy, как показано на следующей схеме.

Название схемы: решение архитектуры прокси-сервера приложение Azure. В левом верхнем углу поле с меткой "https://sales.constoso.com" содержит значок глобуса для представления веб-сайта. Под ним группа значков представляет пользователя и подключается со стрелкой от пользователя к веб-сайту. В правом верхнем углу облачная фигура, помеченная идентификатором Microsoft Entra, содержит значок службы прокси-сервера приложений. Стрелка подключает веб-сайт к облачной фигуре. В правом нижнем углу поле с меткой DMZ имеет подзаголовок в локальной среде. Стрелка соединяет облачную фигуру с полем DMZ, разделяя два, чтобы указать на значки, помеченные Подключение or. Под значком Подключение or слева стрелка указывает вниз и разделяется на два, чтобы указать значки, помеченные приложением 1 и приложением 2. Под значком Подключение or справа стрелка указывает на значок с меткой App 3.

Администратор в клиенте A выполните следующие действия, чтобы предоставить внешним пользователям доступ к тем же локальным приложениям.

1. Настроить доступ к приложениям SAML.
2. Настроить доступ к другим приложениям.
3. Создание локальных пользователей с помощью MIM или PowerShell.

В следующих статьях содержатся дополнительные сведения о совместной работе B2B.

• Предоставление пользователям B2B доступа к локальным ресурсам в Microsoft Entra ID описывает, как предоставить пользователям B2B доступ к локальным приложениям.
• Совместная работа Microsoft Entra B2B для гибридных организаций описывает, как предоставить внешним партнерам доступ к приложениям и ресурсам в организации.

Следующие шаги

• Введение в многотенантное управление пользователями является первым в серии статей, которые предоставляют рекомендации по настройке и управлению жизненным циклом пользователей в мультитенантных средах Microsoft Entra.
• Многотенантные сценарии управления пользователями описывают три сценария, для которых можно использовать мультитенантные функции управления пользователями: инициированные пользователем, скрипты и автоматизированные.
• Общие рекомендации по управлению мультитенантными пользователями содержат рекомендации по следующим вопросам: синхронизация между клиентами, объект каталога, условный доступ Microsoft Entra, дополнительный контроль доступа и Office 365.