多租户用户管理的常用解决方案
本文是一部教程系列中的第四篇文章,该教程提供有关在 Microsoft Entra 多租户环境中配置和提供用户生命周期管理的指导。 本系列中的以下文章提供了所述的详细信息。
- 多租户用户管理简介是本系列的第一篇。
- 多租户用户管理方案介绍了可以使用多租户用户管理功能的三种方案:最终用户启动、脚本化和自动化。
- 多租户用户管理的常见注意事项为以下注意事项提供了指导:跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。
本指导可帮助你实现一致的用户生命周期管理状态。 生命周期管理包括使用 Microsoft Entra B2B 协作 (B2B) 等可用的 Azure 工具在不同的租户中预配、管理和取消预配用户。
Microsoft 建议尽可能使用单个租户。 如果单个租户不适用于你的方案,请参考 Microsoft 客户针对这些挑战成功实施的以下解决方案:
- 跨租户的自动用户生命周期管理和资源分配
- 跨租户共享本地应用
跨租户的自动用户生命周期管理和资源分配
某客户收购了以前与其有紧密业务关系的竞争对手。 两个组织想要继续保有其企业标识。
当前状态
目前,这两个组织正在将彼此的用户同步为邮件联系人对象,以便他们显示在彼此的目录中。 每个资源租户都为其他租户中的所有用户启用了邮件联系人对象。 无法跨租户访问应用程序。
目标
客户具有以下目标。
- 每个用户都显示在每个组织的 GAL 中。
- 主租户中的用户帐户生命周期更改自动反映在资源租户 GAL 中。
- 主租户的属性更改(例如部门、名称和简单邮件传输协议 [SMTP] 地址)会自动反映在资源租户 GAL 和主 GAL 中。
- 用户可以访问资源租户中的应用程序和资源。
- 用户可对资源发出自助访问请求。
解决方案体系结构
组织将使用具有同步引擎(例如 Microsoft Identity Manager (MIM))的点到点体系结构。 下图演示了此解决方案的点到点体系结构示例。
每个租户管理员将执行以下步骤来创建用户对象。
- 确保其用户数据库是最新的。
- 部署和配置 MIM。
- 处理现有的联系人对象。
- 为其他租户的内部成员用户创建外部成员用户对象。
- 同步用户对象属性。
- 部署和配置权利管理访问包。
- 要共享的资源。
- 过期和访问评审策略。
跨租户共享本地应用
具有多个对等组织的客户需要从其中一个租户共享本地应用程序。
当前状态
对等组织正在同步网格拓扑中的外部用户,从而将资源跨租户分配到云应用程序。 客户提供以下功能。
- 共享 Microsoft Entra ID 中的应用程序。
- 主租户上的资源租户中的自动化用户生命周期管理(反映添加、修改和删除)。
下图演示了此方案,其中只有公司 A 中的内部用户访问公司 A 的本地应用。
目标
除了当前功能之外,他们还希望提供以下功能。
- 为外部用户提供对公司 A 的本地资源的访问权限。
- 使用安全断言标记语言 (SAML) 身份验证的应用。
- 具有集成 Windows 身份验证和 Kerberos 的应用。
解决方案体系结构
公司 A 使用 Azure 应用程序代理为其内部用户提供本地应用的单一登录 (SSO),如下图所示。
图标题:Azure 应用程序代理体系结构解决方案。 在左上角,标有 `https://sales.constoso.com` 的框包含了表示网站的地球图标。 在其下方,一组图标代表用户,并通过从用户到网站的箭头进行连接。 在右上角,标有“AMicrosoft Entra ID”的云状图像包含一个标有“应用程序代理服务”的图标。 箭头将网站连接到云形状。 在右下角,标有 DMZ 的框带有副标题“本地”。 箭头将云形状连接到 DMZ 框,一分为二,指向标记为“连接器”的图标。 在左侧的“连接器”图标下方,箭头向下指向,一分为二,指向标记为“应用 1”和“应用 2”的图标。 在右侧的“连接器”图标下方,一个箭头向下指向标有“应用 3”的图标。
以下文章提供了有关 B2B 协作的更多信息。
- 面向混合型组织的 Microsoft Entra B2B 协作介绍了如何使外部合作伙伴能够访问你组织中的应用和资源。
后续步骤
- 多租户用户管理简介是一系列文章中的第一篇文章,这些文章提供在 Microsoft Entra 多租户环境中配置和提供用户生命周期管理的指导。
- 多租户用户管理方案介绍了可以使用多租户用户管理功能的三种方案:最终用户启动、脚本化和自动化。
- 多租户用户管理的常见注意事项为以下注意事项提供了指导:跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。