多租户用户管理的常见解决方案

本文是一系列文章中的第四篇文章,提供在 Microsoft Entra 多租户环境中配置和提供用户生命周期管理的指导。 本系列中的以下文章提供了详细信息,如前所述。

本指南可帮助你实现用户生命周期管理的一致状态。 生命周期管理包括使用现有的 Azure 工具,跨租户进行用户的预配、管理和取消预配,这些工具包括 Microsoft Entra B2B 协作(B2B)。

Microsoft尽可能推荐单个租户。 如果单租户不适用于你的方案,请参考以下解决方案,这些方案是由Microsoft客户为解决这些挑战而成功实施的:

  • 跨租户的自动用户生命周期管理和资源分配
  • 跨租户共享本地应用

跨租户的自动用户生命周期管理和资源分配

客户收购了以前与之有着密切业务关系的竞争对手。 组织希望维护其企业标识。

当前状态

目前,组织正在将彼此的用户同步为邮件联系人对象,以便它们在彼此的目录中显示。 每个资源租户都为其他租户中的所有用户启用了邮件联系人对象。 在租户中,无法访问应用程序。

目标

客户具有以下目标。

  • 每个用户都出现在每个组织的 GAL 中。
    • 主租户中的用户帐户生命周期更改会自动反映在资源租户 GAL 中。
    • 家庭租户(如部门、名称、简单邮件传输协议 (SMTP) 地址)中的属性更改会自动反映在资源租户 GAL 和主 GAL 中。
  • 用户可以访问资源租户中的应用程序和资源。
  • 用户可以自主提出资源访问请求。

解决方案体系结构

组织使用点到点体系结构和同步引擎,例如Microsoft标识管理器(MIM)。 下图演示了此解决方案的点到点体系结构示例。

关系图说明了点到点体系结构解决方案。

每个租户管理员执行以下步骤来创建用户对象。

  1. 确保其用户数据库是最新的。
  2. 部署和配置 MIM
    1. 处理现有联系人对象。
    2. 为其他租户的内部成员用户创建外部成员用户对象。
    3. 同步用户对象属性。
  3. 部署和配置 权利管理 访问包。
    1. 要共享的资源。
    2. 到期和访问评审策略。

跨租户共享本地应用

具有多个对等组织的客户需要从其中一个租户共享内部部署应用程序。

当前状态

合作伙伴组织正在网格拓扑中同步外部用户,使得资源能够在不同租户之间分配给云应用程序。 客户提供以下功能。

  • 在 Microsoft Entra ID 中共享应用程序。
  • 资源租户自动用户生命周期管理(在主租户中反映添加、修改和删除)。

下图演示了此方案,其中只有公司 A 中的内部用户才能访问公司 A 的本地应用。

关系图说明了网格拓扑。

目标

除了当前功能之外,他们希望提供以下内容。

  • 为外部用户提供对公司 A 的本地资源的访问权限。
  • 具有安全断言标记语言(SAML)身份验证的应用。
  • 具有集成 Windows 身份验证和 Kerberos 的应用。

解决方案体系结构

公司 A 使用 Azure 应用程序代理为自己的内部用户提供本地应用单一登录(SSO),如下图所示。

关系图说明了应用程序访问的示例。

关系图标题:Azure 应用程序代理体系结构解决方案。 在左上角,标记为“”https://sales.constoso.com的框包含用于表示网站的地球图标。 在下方,一组图标代表用户,并通过箭头从用户连接到网站。 在右上角,标记为Microsoft Entra ID 的云形状包含标记为应用程序代理服务的图标。 箭头将网站连接到云形状。 在右下角,标记为 DMZ 的框标有“本地部署”作为副标题。 箭头将云形状连接到 DMZ 框,然后分成两个箭头指向标记为“连接器”的图标。 在左侧的“连接器”图标下方,箭头向下并拆分为两个箭头,指向标记为“应用 1”和“应用 2”的图标。 在右侧的“连接器”图标下方,箭头向下指向标记为“应用 3”的图标。

以下文章提供有关 B2B 协作的其他信息。

  • Microsoft Entra B2B 协作 介绍了如何为混合组织中的外部合作伙伴提供对应用程序和资源的访问权限。

后续步骤

  • 多租户用户管理简介 是系列文章中的第一篇文章,这些文章提供了在 Microsoft Entra 多租户环境中配置和提供用户生命周期管理的指导。
  • 多租户用户管理方案 描述了可以使用多租户用户管理功能的三种方案:最终用户启动、脚本化和自动化。
  • 多租户用户管理的常见注意事项 提供了以下注意事项的指导:跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。