Provisioning degli utenti B2B di Microsoft Entra ID (in precedenza Azure AD) e Single Sign-On

Last reviewed 2024-07-11 UTC

Questo documento illustra come estendere il provisioning degli utenti e il Single Sign-On di Microsoft Entra ID (in precedenza Azure AD) per attivare il Single Sign-On per gli utenti di collaborazione B2B di Microsoft Entra ID.

Il documento presuppone l'utilizzo di Microsoft Office 365 o Microsoft Entra ID nelle dell'organizzazione e che hai già configurato Provisioning degli utenti di Microsoft Entra ID e Single Sign-On come mostrato nel diagramma seguente.

Configurazione del provisioning degli utenti e del Single Sign-On di Microsoft Entra ID.

In questo diagramma, gli utenti di provider di identità (IdP) esterni e di altri tenant di Microsoft Entra ID accedono al tenant di Microsoft Entra ID tramite l'accesso B2B.

Obiettivi

  • Estendere la configurazione del provisioning degli utenti di Microsoft Entra ID in modo da includere gli utenti invitati di Microsoft Entra B2B.
  • Estendere la configurazione SSO di Microsoft Entra ID in modo da includere gli utenti ospiti di Microsoft Entra B2B.
  • Configura Cloud Identity per limitare la durata delle sessioni degli utenti ospiti.

Prima di iniziare

Assicurati di avere configurato Provisioning degli utenti di Microsoft Entra ID e Single Sign-On.

Utenti ospiti di Microsoft Entra B2B

Microsoft Entra ID consente di invitare utenti esterni come ospiti del tenant Microsoft Entra ID. Quando invitate un utente esterno, Microsoft Entra ID crea un account utente ospite nel vostro tenant. Questi account utente ospite sono diversi dai normali account utente Microsoft Entra ID in in più modi:

  • Gli utenti ospiti non hanno una password. Per accedere, gli utenti ospiti vengono reindirizzati automaticamente al proprio tenant principale o al provider di identità (IdP) esterno da cui sono stati invitati.
  • Il nome entità utente (UPN) dell'account utente ospite utilizza un prefisso derivati dall'indirizzo email dell'invitato, combinato con dominio iniziale, ad esempio: prefix#EXT#@tenant.onmicrosoft.com.
  • Se inviti un utente da un tenant di Microsoft Entra ID diverso e l'utente successivamente eliminato nel suo tenant di casa, l'account utente ospite rimane attivo nel tenant di Microsoft Entra ID.

Queste differenze influiscono sul modo in cui configuri il provisioning degli utenti e l'accesso singolo:

  • Poiché onmicrosoft.com è un dominio DNS di proprietà di Microsoft, non puoi aggiungere tenant.onmicrosoft.com come dominio secondario al tuo account Cloud Identity o Google Workspace. Questa avvertenza significa che non puoi utilizzare l'UPN dell'utente ospite come indirizzo email principale durante il provisioning dell'utente su Cloud Identity Google Workspace.

    Per eseguire il provisioning degli utenti guest in Cloud Identity o Google Workspace, devi configurare una mappatura che trasformi il UPN dell'utente guest in un dominio utilizzato dal tuo account Cloud Identity o Google Workspace.

    In questo documento, configuri una mappatura UPN come indicato nella tabella seguente.

    UPN originale in Microsoft Entra ID Indirizzo email principale in Cloud Identity o Google Workspace
    Utente normale alice@example.com alice@example.com
    Ospite Microsoft Entra ID charlie@altostrat.com charlie_altostrat.com@example.com
    Ospite esterno user@hotmail.com user_hotmail.com@example.com

  • Quando un utente viene eliminato nel suo tenant principale, Microsoft Entra ID non sospende l'utente corrispondente in Cloud Identity o Google Workspace. Ciò rappresenta un rischio per la sicurezza. Sebbene qualsiasi tentativo di utilizzare il Single Sign-On per un utente di questo tipo, le sessioni del browser esistenti e i token di aggiornamento (incluse quelle utilizzate da Google Cloud CLI) potrebbero rimanere attive per giorni o settimane, consentendo all'utente di continuare ad accedere alle risorse.

    Utilizzando l'approccio presentato in questo documento, puoi ridurre questo rischio eseguendo il provisioning degli utenti ospiti in un'unità organizzativa dedicata in Cloud Identity o Google Workspace e applicando un criterio che limiti la durata della sessione a 8 ore. Il criterio garantisce che le sessioni del browser e i token di aggiornamento esistenti vengano invalidati al massimo 8 ore dopo l'eliminazione dell'utente nel tenant principale, revocando di fatto tutto l'accesso. L'utente in Cloud Identity o Google Workspace rimane attivo, tuttavia, finché non elimini l'utente ospite dal tuo account Microsoft Entra ID.

Preparare l'account Cloud Identity o Google Workspace

Crea un'unità organizzativa in Cloud Identity oppure Account Google Workspace per il quale verrà eseguito il provisioning di tutti gli utenti ospiti.

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato quando hai eseguito la registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, vai a Directory > Unità organizzative.
  3. Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
    1. Nome dell'unità organizzativa: guests
    2. Descrizione: Microsoft Entra B2B guest users
  4. Fai clic su Crea.

Applica all'unità organizzativa un criterio che limiti la durata della sessione a 8 ore. La durata della sessione non si applica solo alle sessioni del browser, ma anche Limita la durata dei token di aggiornamento OAuth.

  1. Nella Console di amministrazione, vai a Sicurezza > Accesso e controllo dei dati > Controllo sessione Google Cloud.

  2. Seleziona l'unità organizzativa ospiti e applica le seguenti impostazioni:

    • Criterio di riautenticazione: Richiedi riautenticazione

    • Frequenza di riautenticazione: 8 ore.

      Questa durata riflette il periodo di tempo massimo per cui un utente ospite potrebbe essere ancora in grado di accedere alle risorse Google Cloud dopo essere stato sospeso in Microsoft Entra ID.

    • Metodo di riautenticazione: Password.

      Questa impostazione garantisce che gli utenti debbano eseguire nuovamente l'autenticazione utilizzando Microsoft Entra ID dopo la scadenza di una sessione.

  3. Fai clic su Sostituisci.

Configurare il provisioning di Microsoft Entra ID

Ora è tutto pronto per modificare la configurazione di Microsoft Entra ID esistente per supportare il provisioning degli utenti ospiti B2B.

  1. Nel portale di Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
  2. Seleziona l'applicazione aziendale Google Cloud (Provisioning), che utilizzi per il provisioning degli utenti.
  3. Fai clic su Gestisci > Provisioning.
  4. Fai clic su Modifica provisioning.
  5. In Mappature, fai clic su Esegui il provisioning degli utenti di Microsoft Entra ID.
  6. Seleziona la riga userPrincipalName.

  7. Nella finestra di dialogo Modifica attributo, applica le seguenti modifiche:

    1. Tipo di mappatura: passa da Diretta a Espressione.

    2. Espressione:

      Replace([originalUserPrincipalName], "#EXT#@TENANT_DOMAIN", , , "@PRIMARY_DOMAIN", , )

      Sostituisci quanto segue:

      • TENANT_DOMAIN: il dominio .onmicrosoft.com del tenant Microsoft Entra ID, ad esempio tenant.onmicrosoft.com.
      • PRIMARY_DOMAIN: il nome di dominio principale utilizzato dall'account Cloud Identity o Google Workspace, ad esempio example.org.

  8. Fai clic su OK.

  9. Seleziona Aggiungi nuova mappatura.

  10. Nella finestra di dialogo Modifica attributo, configura le seguenti impostazioni:

    1. Tipo di mappatura: Espressione.

    2. Espressione:

      IIF(Instr([originalUserPrincipalName], "#EXT#", , )="0", "/", "/guests")

    3. Attributo target: OrgUnitPath

  11. Fai clic su OK.

  12. Fai clic su Salva.

  13. Fai clic su per confermare che il salvataggio delle modifiche comporterà la risincronizzazione di utenti e gruppi.

  14. Chiudi la finestra di dialogo Mappatura attributi.

Configurare Microsoft Entra ID per il Single Sign-On

Per assicurarti che gli utenti ospiti possano autenticarsi utilizzando il Single Sign-On, ora puoi estendere la configurazione esistente di Microsoft Entra ID per attivare il Single Sign-On per gli ospiti:

  1. Nel portale Azure, vai a Microsoft Entra ID > Aziende applicazioni.
  2. Seleziona l'applicazione aziendale Google Cloud, che che utilizzi per il Single Sign-On.
  3. Fai clic su Gestisci > Single Sign-On.
  4. Nella schermata del voto, fai clic sulla scheda SAML.
  5. Nella pagina Attributi utente e Scheda Rivendicazioni, fai clic su Modifica.
  6. Seleziona la riga con l'etichetta Unique User Identifier (Name ID) (Identificatore utente univoco (ID nome)).
  7. Seleziona Condizioni di rivendicazione.
  8. Per aggiungere una rivendicazione condizionale per gli ospiti esterni:
    • Tipo di utente: Ospiti esterni
    • Fonte: Transformation
    • Trasformazione: RegexReplace()
    • Parametro 1: Attributo
    • Attributo: user.userprincipalname
    • Pattern regex: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$
    • Pattern sostitutivo: {username}@PRIMARY_DOMAIN, sostituzione di PRIMARY_DOMAIN con il dominio principale nome utilizzato dal tuo account Cloud Identity o Google Workspace.
  9. Fai clic su Aggiungi.

  10. Aggiungi una rivendicazione condizionale per gli ospiti di Microsoft Entra ID di tenant diversi:

    • Tipo di utente: Ospiti Microsoft Entra
    • Fonte: Transformation
    • Trasformazione: RegexReplace()
    • Parametro 1: Attributo

    • Attributo: user.localuserprincipalname

    • Pattern regex: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$

    • Pattern sostitutivo: {username}@PRIMARY_DOMAIN, sostituzione di PRIMARY_DOMAIN con il dominio principale nome utilizzato dal tuo account Cloud Identity o Google Workspace.

  11. Fai clic su Aggiungi.

  12. Aggiungi una rivendicazione condizionale per gli utenti standard di Microsoft Entra ID:

    • Tipo di utente: Membri
    • Origine: Attributo
    • Valore: user.userprincipalname

  13. Fai clic su Salva.

Testare il Single Sign-On

Per verificare che la configurazione funzioni correttamente, hai bisogno di tre utenti di test nel tuo tenant Microsoft Entra ID:

  • Un normale utente di Microsoft Entra ID.
  • Un utente ospite Microsoft Entra ID. Questo è un utente che è stato invitato da un un tenant di Microsoft Entra ID diverso.
  • Un utente ospite esterno. Si tratta di un utente che è stato invitato utilizzando un indirizzo email non Microsoft Entra ID, ad esempio un indirizzo @hotmail.com.

Per ogni utente, esegui il seguente test:

  1. Apri una nuova finestra in incognito nel browser e vai al https://console.cloud.google.com/.

  2. Nella pagina Accedi con Google visualizzata, inserisci l'indirizzo email dell'utente esattamente come appare in Indirizzo email principale in Cloud Identity oppure Google Workspace della tabella precedente. Fai riferimento alla tabella per vedere come l'indirizzo email in Cloud Identity o Google Workspace deriva dal nome entità utente.

    Ti reindirizziamo a Microsoft Entra ID, dove visualizzi un'altra richiesta di accesso.

  3. Al prompt di accesso, inserisci il nome UPN dell'utente e segui le istruzioni per l'autenticazione.

    Dopo l'autenticazione, Microsoft Entra ID ti reindirizza a Google Accedi. Poiché è la prima volta che accedi utilizzando questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

  4. Se accetti i termini, fai clic su Accetta.

    Si aprirà la console Google Cloud, dove ti verrà chiesto di confermare preferenze e accetta i Termini di servizio di Google Cloud.

  5. Se accetti i termini, scegli , quindi fai clic su Accetta e continua.

  6. Fai clic sull'icona dell'avatar, quindi su Esci.

    Il sistema ti reindirizzerà a una pagina di Microsoft Entra ID in cui potrai confermare che hai eseguito disconnesso correttamente.

Passaggi successivi