Construímos um aplicativo configurado para logon único usando nosso AD com SAML. Usamos o Duo para 2FA. Portanto, todos os usuários em nosso domínio podem acessar esse aplicativo com suas contas de trabalho regulares.
No entanto, chegaram algumas solicitações em que algumas pessoas externas também precisam acessar esse aplicativo. Os desenvolvedores desse aplicativo declararam que NÃO desejam manter os usuários por meio do próprio aplicativo, motivo pelo qual o federamos ao nosso AD. Como vamos fazer isso?
Não quero criar novos usuários no AD e dar a eles uma conta com o endereço de e-mail da minha empresa, pois isso será muito difícil de gerenciar.
Eu estava pensando em criar um AD "Contato" em vez de um usuário. Dessa forma, posso adicionar "[email protected]" e colocar essa conta em qualquer UO para acesso etc. No entanto, alguém me disse que os contatos do AD não possuem identificador de segurança SID, portanto, não poderão fazer login em nenhum Recursos. Existe alguma solução alternativa onde eu não tenha que criar e gerenciar novos usuários em nosso AD?
Obrigado!
você está correto, os contatos não podem fazer logon, mas criar um contato não é mais uma sobrecarga de gerenciamento de forma realista do que criar um usuário de domínio com permissões restritivas (somente grupo de usuários de domínio), eu seguiria esse caminho. Espero que isto ajude.
A melhor solução que encontrei foi usar uma "Conta de convidado". Você cria um usuário convidado no portal do Azure, habilita uma política de Acesso Condicionado para garantir que o 2FA seja aplicado em todas as contas de convidados. Mesmo que não seja Duo, desde que os convidados estejam usando 2FA, estou feliz. Essa parecia ser a melhor solução para isso. Felicidades!