Viele Unternehmen arbeiten gelegentlich oder häufig mit externen Benutzern wie freien Entwicklern zusammen. Wie sich die temporäre Beschäftigung oder Partnerschaft im Azure Active Directory abbilden lässt, sehen wir uns in diesem Artikel an.
Benutzerkonten für befristete Anstellungen oder Partnerschaften im Azure AD zu erstellen, wäre nicht nur ein enormer Aufwand. Unternehmen müssten auch peinlichst darauf achten, die Nutzung der Konten und der damit verbundenen Berechtigungen nachzuverfolgen oder aktiv zu terminieren, wenn die Partnerschaft beendet ist.
Das Azure AD stellt zu diesem Zweck mit „Azure AD Business to Business (B2B)“ eine Funktion zur Verfügung, um problemlos und sicher mit externen Partnern zusammenarbeiten zu können. Diese „Partnerbenutzer“ werden dazu einfach als Gast-Benutzer eingeladen. Das Unternehmen behält die Kontrolle darüber, worauf und wie lange die Gast-Konten Zugriff erhalten sollen.
Wie Azure AD B2B funktioniert
Der externe Partner kann dann seine eigene Identitätsverwaltungslösung weiterverwenden. Dazu ist nicht einmal zwingend ein Azure AD erforderlich. Das einladende Unternehmen muss die externen Konten und Kennwörter auch nicht verwalten, die Konten synchronisieren oder sich um deren Lebenszyklus kümmern.
Die externen User verwalten ihre eigenen Identitäten über den eigenen Azure-AD-Dienst oder bei einem externen Identitätsanbieter. Die Gast-Benutzer melden bei den Apps und Diensten des Unternehmens an, aber mit jeweils ihrem eigenen Organisationskonto, MS-Account oder sozialer Identität.
(Bild: Drilling / Microsoft)
Im Verlauf des Vorgangs der Einladung erhält der externe Benutzer eine E-Mail, um auf das Azure-AD-Verzeichnis des Unternehmens zuzugreifen. Diese Einladungsnachricht ist weitgehend frei konfigurierbar. Im Normalfall erhält der Gast die Einladung per Mail, es ist aber auch möglich, den Einladungslink direkt zu versenden. Die nebenstehende Abbildung verdeutlicht den User Flow.
Der Gast muss bei der ersten Verwendung des Einladungslinks für die angeforderten Berechtigungen seine Einwilligung erteilen. Es gilt also, die von Azure AD B2B benötigten Berechtigungen zu akzeptieren, bevor er oder sie einen Zugriff auf die Apps und Ressourcen erhält.
Wurde zuvor Multi-Faktor-Authentifizierung aktiviert, muss der Gast zusätzliche Details zum Konto angeben, indem er zum Beispiel einen Prüfcode auf seinem mobilen Gerät eingibt. Dann wird der Gast-User im Normalfall auf den dafür vorgesehenen Zugriffsbereich des Unternehmens, wie zum Beispiel das Portal „myapplications.com“ bei Microsoft 365, weitergeleitet.
Die Apps oder Dienste, auf die Zugriff gewährt wird, müssen aber nicht zwingend Cloud-basiert, sondern können auch lokal sein. Daher empfiehlt es sich, schon vor der ersten Einladung im Azure AD die grundlegenden Einstellungen für die externe Zusammenarbeit vorzunehmen.
(Bild: Drilling / Microsoft)
Per Default haben Gast-Benutzer nämlich eingeschränkte Rechte auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten. Die zugehörigen Settings finden sich im Bereich „Benutzereinstellungen“ von Azure AD. Der eigentliche Vorgang zu einer Gast-Einladung ist einfach. Hierfür müssen Admins beim Erstellen eines neuen Benutzers im Azure-AD die Option „Benutzer einladen“ auswählen.
(Bild: Drilling / Microsoft)
Achtung: Falls der Vorgang im Rahmen einer Demo nachgestellt werden soll, muss sichergestellt sein, dass der Gast die E-Mail auch erhalten kann. Wird also im Azure-AD des Gastes ein regulärer Azure-AD-Account angelegt, so muss der angegebene vollständige UPN entweder mit einer Exchange-Online-Lizenz versorgt sein oder das Unternehmen müssen für DIESEN Benutzer eine alternative E-Mail einrichten, die „außerhalb“ eines Azure-AD-Verzeichnisses gehostet ist.
(Bild: Drilling / Microsoft)
Im Beispiel wählten wir eine T-Online-Mail-Adresse mit Suffix „magenta.de“, welche dann auch beim Einladen des Gastes bei „E-Mail-Adresse“ anzugeben ist: Dort sollte dann auch die erwähnte Einladungs-Mail eingehen. Solange der Gast die Einladung nicht angenommen hat, ist der „Erstellungstyp“ im Verzeichnis des Einladers: „Einladung“.
Durch Folgen der Einladung im Rahmen des oben beschriebenen Benutzer-Flows wird dann beim Anmeldevorgang die Aufforderung des einladenden Azure-AD-Verzeichnisses (hier „STANDARDVERZEICHNIS“) angezeigt, in den erforderlichen Berechtigungen zuzustimmen.
(Bild: Drilling / Microsoft)
Dazu wird der erwähnte Prüfcode an die oben beschriebene E-Mail-Adresse des Gastes verschickt. Per Standard-Einstellung bekommt der Gast dann Zugang zum My-Apps-Portal (https://myapplications.microsoft.com/). In der Abbildung sind allerdings noch keine Apps für diesen Nutzer lizensiert, bzw. freigegeben. Das Benutzerkonto lässt sich allerdings auch für den Zugriff auf Azure-Ressourcen berechtigen und externen Entwicklern beispielsweise Zugriff auf Azure-Dev/Test-Lab gewähren.