使用 Microsoft Entra B2B 协作向本地托管的合作伙伴帐户授予对云资源的访问权限
在 Microsoft Entra ID 推出之前,使用本地标识系统的组织一贯是在其本地目录中管理合作伙伴帐户。 在此类组织中,开始将应用转移到 Microsoft Entra ID 时,需要确保合作伙伴能够访问所需的资源。 资源是本地还是云中并不重要。 此外,你希望合作伙伴用户能够对本地和 Microsoft Entra 资源使用相同的登录凭据。
如果在本地目录中创建外部合作伙伴的帐户(例如,在 partners.contoso.com 域中为名为 Maria Sullivan 的外部用户创建登录名为“msullivan”的帐户),则现在可将这些帐户同步到云。 具体而言,可以使用 Microsoft Entra Connect 将合作伙伴帐户同步到云,这将创建 UserType = Guest 的用户帐户。 这样,合作伙伴用户便可以使用与其本地帐户相同的凭据访问云资源,且不需要向他们授予超过需要的访问权限。 若要详细了解如何转换本地来宾帐户,请参阅将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户。
注意
另请参见如何邀请内部用户参加 B2B 协作。 使用此功能,无论是否已将帐户从本地目录同步到云,都可以邀请内部来宾用户使用 B2B 协作。 用户接受使用 B2B 协作的邀请后,将能够使用自己的身份和凭据登录到你想要让他们访问的资源。 无需维护密码或管理帐户生命周期。
识别 UserType 的唯一属性
在启用 UserType 属性的同步之前,必须首先确定如何从本地 Active Directory 派生 UserType 属性。 换句话说,你的本地环境中的哪些参数对于外部协作者而言是唯一的? 确定能够将这些外部协作者与你自己的组织中的成员进行区分的参数。
用于实现此目的的两种常用方法是:
- 指定一个未使用的本地 Active Directory 属性(例如 extensionAttribute1)来用作源属性。
- 或者,从其他属性派生 UserType 属性的值。 例如,如果用户的本地 Active Directory UserPrincipalName 属性以域 @partners.contoso.com 结尾,则你可能希望将所有用户同步为 Guest。
有关详细的属性要求,请参阅启用 UserType 同步。
配置 Microsoft Entra Connect 以将用户同步到云
在标识唯一属性后,可以配置 Microsoft Entra Connect 来将这些用户同步到云,这将创建 UserType = Guest 的用户帐户。 从授权角度来看,这些用户与通过 Microsoft Entra B2B 协作邀请流程创建的 B2B 用户没有区别。
有关实现说明,请参阅启用 UserType 同步。