Назад | Перейти на главную страницу

Пользователь Azure AD B2B разрешает вход в RDS

Наша ситуация такова;

           Company A                           Company B            
+-----------------------------+     +----------------------------+ 
|                             |     |                            | 
|   +---------------------+   |     |   +--------------------+   | 
|   |  On Prem AD: main   |   |     |   |  Azure AD DS: ext  |   | 
|   +----------|----------+   |     |   +--------------------+   | 
|              |              |     |                            | 
|              |              |     |   +--------+  +--------+   | 
|              |Azure Sync    |     |   | RDS SH |  | RDS GW |   | 
|              |              |     |   +--------+  +--------+   | 
|              |              |     |                            | 
|   +----------|-----------+  |     |   +--------+               | 
|   | Azure AD:  main-sync |  |     |   | RDS CB |               | 
|   +----------------------+  |     |   +--------+               | 
|                             |     |                            | 
+-----------------------------+     +----------------------------+

Мы ищем способ разрешить пользователям компании A входить в среду RDS в компании B.

Серверы RDS объединены в Azure AD DS.

Наша первая мысль заключалась в том, чтобы использовать функцию Azure B2B (гостевая учетная запись). Приглашение пользователя из main-sync домен в ext домен работает, но вход в среду RDS, которая работает на серверах, подключенных к ext домен не работает.

Поскольку компания A уже использует Azure Sync между своим основным доменом и собственным Azure AD, мы не можем использовать это для синхронизации. main -> ext.

Что мы можем сделать, чтобы позволить учетным записям B2B входить в RDS-среду?

В качестве альтернативы, если наш план, позволяющий учетным записям B2B входить в систему, никогда не сработает - какое решение будет наименее навязчивым для компании A, позволяющее пользователям в RDS компании B входить в систему?

Вы не сможете войти в систему, используя гостевые учетные записи B2B. Когда вы создаете гостевую учетную запись, она добавляется в Azure AD, и поскольку вы используете AAD DS, она может быть видна машинам RDS, однако никакие данные пароля не синхронизируются с клиентом B2B. Поскольку машины RDS не понимают AAD, они не могут искать учетные данные в исходном клиенте (как при входе в систему AAD) и поэтому терпят неудачу.

Поскольку вы используете AAD DS в домене B, вы немного ограничены в своих возможностях. AAD DS не поддерживает доверительные отношения, поэтому его нет. Возможно, вы могли бы посмотреть на использование ADFS. Самым простым вариантом может быть создание второго набора учетных записей в домене B для пользователей из домена A.