Colaboración mediante cuentas de invitado y Azure Active Directory B2B

azure
10 / 100

Colaboración mediante cuentas de invitado

y Azure Active Directory B2B

Queremos que el equipo externo colabore con el equipo de desarrolladores interno

en un proceso que sea fácil y seguro. Azure Active Directory (Azure AD) de negocio a negocio

(B2B) permite agregar personas de otras empresas al inquilino de Azure AD como usuarios invitados.

Si la organización tiene varios inquilinos de Azure AD, es posible que también quiera usar Azure

AD B2B para conceder a un usuario en el inquilino A acceso a los recursos del inquilino B. Cada

inquilino de Azure AD es distinto e independiente del resto, y tiene su propia representación

de identidades y registros de aplicaciones.

Acceso de usuario invitado en Azure AD B2B

En cualquier escenario en el que los usuarios externos necesiten tener acceso temporal o restringido

a los recursos de la organización, les concederemos acceso de usuario invitado. Podemos dar acceso

de usuario invitado con la imposición de restricciones que procedan.

Cuando el trabajo finalice, quitaremos el acceso.

Podemos usar Azure Portal para invitar a usuarios de colaboración B2B. Se puede invitar

a usuarios invitados a la organización, a un grupo o a una aplicación de Azure AD. Después

de invitar a un usuario, su cuenta se agrega a Azure AD como una cuenta de invitado.

El invitado puede obtener la invitación por correo electrónico, o también se puede compartir

una invitación a una aplicación a través de un vínculo directo. El usuario invitado canjeará la

invitación para acceder a los recursos.

Los usuarios y los administradores de Azure AD pueden invitar a usuarios invitados de forma

predeterminada, si bien el administrador global puede limitar o deshabilitar esta capacidad.

Colaboración con cualquier asociado mediante sus identidades

Si la organización tiene que administrar las identidades de todos los usuarios invitados externos

que pertenecen a una organización asociada determinada, asume una mayor responsabilidad,

puesto que tiene que proteger esas identidades. Hay una mayor carga de trabajo para administrar

esas identidades. También hay que sincronizar cuentas, administrar el ciclo de vida de cada

cuenta y llevar un seguimiento de cada cuenta externa para cumplir las obligaciones existentes

correspondientes. La organización tiene que realizar este procedimiento con cada

organización asociada con la que quiera colaborar. Además, si ocurre algo en esas cuentas,

la organización es la responsable.

[purchase_link id=”0″ style=”button” color=”red” text=”COMPRA AHORA” direct=”true”]

Con Azure Active Directory B2B, no hay que administrar las identidades de los usuarios

externos. El asociado es quien tiene la responsabilidad de administrar sus propias identidades

. Los usuarios externos seguirán usando sus identidades actuales para colaborar con su organización.

Por ejemplo, imaginemos que estamos trabajando con la asociada externa Giovanna

Carvalho en Proseware. Su organización administra su identidad como gcarvalho@proseware.com

, y esa es la identidad que usaríamos en la cuenta de invitado en Azure AD de nuestra

organización. Después de que Giovanna canjee la invitación de cuenta de invitado,

usa la misma identidad (nombre y contraseña) en la cuenta invitado que en la de su organización.

¿Por qué usar Azure AD B2B en lugar de la federación?

Con Azure AD B2B, no asumimos la responsabilidad de administrar y autenticar las credenciales

y las identidades de los asociados. Los asociados pueden colaborar con nosotros aunque no

tengan un departamento de TI. Por ejemplo, podemos colaborar con un contratista que

solo tenga una dirección de correo electrónico personal o empresarial y ninguna solución

de administración de identidades administrada por un departamento de TI.

Además, dar acceso a usuarios externos es mucho más fácil que en una federación.

No es necesario que un administrador de AD cree y administre cuentas de usuario externas.

Cualquier usuario autorizado puede invitar a otros usuarios. Así, por ejemplo, un administrador

de línea puede invitar a usuarios externos para que colaboren con su equipo y, cuando

ya no necesite la colaboración, los puede quitar fácilmente.

Una federación es más complicada. En una federación debe existir una confianza establecida

con otra organización, o una colección de dominios, para tener acceso compartido a un

conjunto de recursos. Se puede usar un proveedor de identidades local y un servicio de autorización

como Servicios de federación de Active Directory (AD FS) que tenga una confianza establecida

con Azure AD. Para obtener acceso a los recursos, todos los usuarios deben proporcionar

sus credenciales y autenticarse correctamente en el servidor de AD FS. Si alguien intenta

autenticarse fuera de la red interna, hay que configurar un proxy de aplicación web.

La arquitectura tendría un aspecto similar al del siguiente diagrama

:[orbital_cluster pages=”4,3001,3017,3021,3023,3032,2997″ order=”ASC”]

Diagrama que muestra un ejemplo de federación

Una federación local con Azure AD podría ser adecuada si la organización quiere

que toda la autenticación en los recursos de Azure suceda en el entorno local. Los

administradores pueden implementar niveles más rigurosos de control de acceso. Pero

esto también significa que, si el entorno local está inactivo, los usuarios no podrán acceder

a los recursos y servicios de Azure que necesitan.

Con una colaboración B2B, los equipos externos obtienen el acceso necesario a los recursos

y servicios de Azure con los permisos adecuados. No es necesario establecer ni una federación

ni una confianza, y la autenticación no depende de un servidor local, sino que se realiza a

través de Azure Active Directory. La colaboración se simplifica, y no hay que preocuparse

de situaciones en las que los usuarios no puedan iniciar sesión porque un directorio local no esté disponible.


Siguiente unidad: Ejercicio: conceder acceso a usuarios invitados en Azure Active Directory B2B