Provisioning degli utenti B2B di Microsoft Entra ID (in precedenza Azure AD) e Single Sign-On

Last reviewed 2024-07-11 UTC

Questo documento mostra come estendere il provisioning degli utenti e il Single Sign-On di Microsoft Entra ID (in precedenza Azure AD) per attivare il Single Sign-On (SSO) per gli utenti della collaborazione B2B di Microsoft Entra ID.

Il documento presuppone che tu utilizzi Microsoft Office 365 o Microsoft Entra ID nella tua organizzazione e che tu abbia già configurato il provisioning degli utenti e il Single Sign-On di Microsoft Entra ID come nel seguente diagramma.

Configurazione del provisioning degli utenti di Microsoft Entra ID e del Single Sign-On.

In questo diagramma, gli utenti di provider di identità (IdP) esterni e di altri tenant Microsoft Entra ID accedono al tenant Microsoft Entra ID tramite l'accesso B2B.

Obiettivi

  • Estendi la configurazione del provisioning utenti di Microsoft Entra ID per coprire gli utenti guest di Microsoft Entra B2B.
  • Estendi la configurazione SSO di Microsoft Entra ID per coprire gli utenti guest Microsoft Entra B2B.
  • Configura Cloud Identity per limitare la durata delle sessioni per gli utenti ospiti.

Prima di iniziare

Assicurati di aver configurato il provisioning degli utenti di Microsoft Entra ID e il Single Sign-On.

Utenti guest Microsoft Entra B2B

Microsoft Entra ID ti consente di invitare utenti esterni come ospiti nel tuo tenant Microsoft Entra ID. Quando inviti un utente esterno, Microsoft Entra ID crea un account utente ospite nel tuo tenant. Questi account utente guest differiscono dai normali account utente Microsoft Entra ID in diversi modi:

  • Gli utenti ospiti non hanno una password. Per accedere, gli utenti ospiti vengono reindirizzati automaticamente al tenant di origine o al provider di identità esterno (IdP) da cui sono stati invitati.
  • Il nome principale utente (UPN) dell'account utente ospite utilizza un prefisso derivato dall'indirizzo email dell'invitato, combinato con il dominio iniziale del tenant, ad esempio: prefix#EXT#@tenant.onmicrosoft.com.
  • Se inviti un utente da un tenant Microsoft Entra ID diverso e l'utente viene eliminato in un secondo momento nel tenant di origine, l'account utente ospite rimane attivo nel tuo tenant Microsoft Entra ID.

Queste differenze influiscono sul modo in cui configuri il provisioning degli utenti e il single sign-on:

  • Poiché onmicrosoft.com è un dominio DNS di proprietà di Microsoft, non puoi aggiungere tenant.onmicrosoft.com come dominio secondario al tuo account Cloud Identity o Google Workspace. Questo avviso significa che non puoi utilizzare l'UPN dell'utente ospite come indirizzo email principale quando esegui il provisioning dell'utente in Cloud Identity o Google Workspace.

    Per eseguire il provisioning degli utenti guest in Cloud Identity o Google Workspace, devi configurare un mapping che trasformi l'UPN dell'utente guest in un dominio utilizzato dal tuo account Cloud Identity o Google Workspace.

    In questo documento configurerai una mappatura UPN come indicato nella tabella seguente.

    UPN originale in Microsoft Entra ID Indirizzo email principale in Cloud Identity o Google Workspace
    Utente normale alice@example.com alice@example.com
    Ospite Microsoft Entra ID charlie@altostrat.com charlie_altostrat.com@example.com
    Ospite esterno user@hotmail.com user_hotmail.com@example.com

  • Quando un utente viene eliminato nel tenant di origine, Microsoft Entra ID non sospende l'utente corrispondente in Cloud Identity o Google Workspace. Ciò comporta un rischio per la sicurezza: sebbene qualsiasi tentativo di utilizzare il Single Sign-On non vada a buon fine per questo utente, le sessioni del browser e i token di aggiornamento esistenti (inclusi quelli utilizzati da Google Cloud CLI) potrebbero rimanere attivi per giorni o settimane, consentendo all'utente di continuare ad accedere alle risorse.

    Utilizzando l'approccio presentato in questo documento, puoi mitigare questo rischio eseguendo il provisioning degli utenti guest in un'unità organizzativa dedicata in Cloud Identity o Google Workspace e applicando un criterio che limiti la durata della sessione a 8 ore. Il criterio garantisce che le sessioni del browser e i token di aggiornamento esistenti vengano invalidati al massimo 8 ore dopo l'eliminazione dell'utente nel tenant di origine, revocando di fatto tutti gli accessi. L'utente in Cloud Identity o Google Workspace rimane attivo, tuttavia, finché non elimini l'utente ospite dal tuo account Microsoft Entra ID.

Prepara il tuo account Cloud Identity o Google Workspace

Crea un'unità organizzativa nel tuo account Cloud Identity o Google Workspace in cui verranno eseguito il provisioning di tutti gli utenti ospiti.

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato al momento della registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, vai a Directory > Unità organizzative.
  3. Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
    1. Nome dell'unità organizzativa: guests
    2. Descrizione: Microsoft Entra B2B guest users
  4. Fai clic su Crea.

Applica un criterio all'unità organizzativa che limiti la durata della sessione a 8 ore. La durata della sessione non si applica solo alle sessioni del browser, ma limita anche la durata dei token di aggiornamento OAuth.

  1. Nella Console di amministrazione, vai a Sicurezza > Accesso e controllo dei dati > Controllo sessione Google Cloud.

  2. Seleziona l'unità organizzativa Ospiti e applica le seguenti impostazioni:

    • Policy di riautenticazione: Richiedi riautenticazione

    • Frequenza di riautenticazione: 8 ore.

      Questa durata riflette il periodo di tempo massimo in cui un utente guest potrebbe ancora essere in grado di accedere alle risorse Google Cloud dopo la sospensione in Microsoft Entra ID.

    • Metodo di riautenticazione: password.

      Questa impostazione garantisce che gli utenti debbano eseguire nuovamente l'autenticazione utilizzando Microsoft Entra ID dopo la scadenza di una sessione.

  3. Fai clic su Sostituisci.

Configurare il provisioning di Microsoft Entra ID

Ora puoi modificare la configurazione di Microsoft Entra ID esistente per supportare il provisioning degli utenti guest B2B.

  1. Nel portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
  2. Seleziona l'applicazione aziendale Google Cloud (provisioning), che utilizzi per il provisioning degli utenti.
  3. Fai clic su Gestisci > Provisioning.
  4. Fai clic su Modifica provisioning.
  5. In Mappature, fai clic su Provisioning utenti Microsoft Entra ID.
  6. Seleziona la riga userPrincipalName.

  7. Nella finestra di dialogo Modifica attributo, applica le seguenti modifiche:

    1. Tipo di mappatura: cambia da Diretta a Espressione.

    2. Expression:

      Replace([originalUserPrincipalName], "#EXT#@TENANT_DOMAIN", , , "@PRIMARY_DOMAIN", , )

      Sostituisci quanto segue:

      • TENANT_DOMAIN: il dominio .onmicrosoft.com del tuo tenant Microsoft Entra ID, ad esempio tenant.onmicrosoft.com.
      • PRIMARY_DOMAIN: il nome di dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace, ad esempio example.org.

  8. Fai clic su OK.

  9. Seleziona Aggiungi nuova mappatura.

  10. Nella finestra di dialogo Modifica attributo, configura le seguenti impostazioni:

    1. Tipo di mappatura: Espressione.

    2. Expression:

      IIF(Instr([originalUserPrincipalName], "#EXT#", , )="0", "/", "/guests")

    3. Attributo di destinazione: OrgUnitPath

  11. Fai clic su OK.

  12. Fai clic su Salva.

  13. Fai clic su per confermare che il salvataggio delle modifiche comporterà la risincronizzazione di utenti e gruppi.

  14. Chiudi la finestra di dialogo Mappatura attributi.

Configurare Microsoft Entra ID per Single Sign-On

Per garantire che gli utenti ospiti possano autenticarsi utilizzando Single Sign-On, ora estendi la configurazione esistente di Microsoft Entra ID per attivare Single Sign-On per gli ospiti:

  1. Nel portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
  2. Seleziona l'applicazione aziendale Google Cloud, che utilizzi per il Single Sign-On.
  3. Fai clic su Gestisci > Single Sign-On.
  4. Nella schermata della scheda elettorale, fai clic sulla scheda SAML.
  5. Nella scheda Attributi e rivendicazioni utente, fai clic su Modifica.
  6. Seleziona la riga con l'etichetta Unique User Identifier (Name ID) (Identificatore utente univoco (ID nome)).
  7. Seleziona Condizioni di rivendicazione.
  8. Aggiungi un'attestazione condizionale per gli ospiti esterni:
    • Tipo di utente: Ospiti esterni
    • Fonte: Trasformazione
    • Trasformazione: RegexReplace()
    • Parametro 1: Attributo
    • Attributo: user.userprincipalname
    • Pattern regex: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$
    • Pattern di sostituzione: {username}@PRIMARY_DOMAIN, sostituisce PRIMARY_DOMAIN con il nome del dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.
  9. Fai clic su Aggiungi.

  10. Aggiungi un'attestazione condizionale per gli ospiti di Microsoft Entra ID di tenant diversi:

    • Tipo di utente: Ospiti Microsoft Entra
    • Fonte: Trasformazione
    • Trasformazione: RegexReplace()
    • Parametro 1: Attributo

    • Attributo: user.localuserprincipalname

    • Pattern regex: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$

    • Pattern di sostituzione: {username}@PRIMARY_DOMAIN, sostituisce PRIMARY_DOMAIN con il nome del dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.

  11. Fai clic su Aggiungi.

  12. Aggiungi un'attestazione condizionale per gli utenti regolari di Microsoft Entra ID:

    • Tipo di utente: Membri
    • Fonte: Attributo
    • Valore: user.userprincipalname

  13. Fai clic su Salva.

Testare il Single Sign-On

Per verificare che la configurazione funzioni correttamente, devi avere tre utenti di test nel tenant Microsoft Entra ID:

  • Un utente Microsoft Entra ID normale.
  • Un utente ospite di Microsoft Entra ID. Si tratta di un utente invitato da un tenant Microsoft Entra ID diverso.
  • Un utente ospite esterno. Si tratta di un utente invitato tramite un indirizzo email non Microsoft Entra ID, ad esempio un indirizzo @hotmail.com.

Per ogni utente, esegui il seguente test:

  1. Apri una nuova finestra in incognito nel browser e vai a https://console.cloud.google.com/.

  2. Nella pagina di accesso con Google visualizzata, inserisci l'indirizzo email dell'utente come appare nella colonna Indirizzo email principale in Cloud Identity o Google Workspace della tabella precedente. Consulta questa tabella per scoprire come l'indirizzo email in Cloud Identity o Google Workspace deriva dal nome principale utente.

    Viene visualizzato un altro prompt di accesso in Microsoft Entra ID.

  3. Al prompt di accesso, inserisci l'UPN dell'utente e segui le istruzioni per l'autenticazione.

    Dopo l'autenticazione, Microsoft Entra ID ti reindirizza alla pagina di accesso di Google. Poiché è la prima volta che accedi con questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

  4. Se accetti i termini, fai clic su Accetta.

    Viene visualizzata la console Google Cloud , che ti chiede di confermare le preferenze e accettare i Google Cloud Termini di servizio.

  5. Se accetti i termini, scegli , quindi fai clic su Accetta e continua.

  6. Fai clic sull'icona dell'avatar, quindi su Esci.

    Viene visualizzata una pagina di Microsoft Entra ID che conferma che la disconnessione è stata eseguita correttamente.

Passaggi successivi