您可以将 Windows Azure Active Directory 与第三方 Active Directory 一起使用吗?
Can you use Windows Azure Active Directory with third party Active Directories?
我目前正在设置一个 ASP.NET MVC 应用程序,它将托管在 Windows Azure 平台上。该应用程序可能由数百个第三方使用,每个第三方都有自己的个人用户组,需要通过登录进行身份验证。我正在考虑使用 Windows Azure Active Directory (WAAD) 作为身份验证部分.
显然我可以使用 WAAD 为每个用户设置单独的登录名,然后将他们添加到已经为他们所属的第三方设置的组中。
这对大多数第三方来说可能就足够了。但是,有些可能已经拥有自己的 Active Directory (AD),它可能是也可能不是 WAAD,所有用户都是成员。我想知道是否有一种方法可以相对轻松地为他们提供一种将他们的 Active Directory 连接到我的 WAAD 的方法,从而允许他们的目录用户使用我们的 WAAD 进行身份验证。
我已阅读有关通过同步或使用联合登录将本地 AD 与 WAAD 集成的信息。但是,所有文章似乎都针对 "your" 与 "your" WAAD 链接的本地 AD。显然,由于您同时管理这两个目录,因此存在固有的信任。但是,出于明显的原因,我只信任第三方来验证他们的用户,不想开放一种机制,让他们可以管理我的 WAAD 并影响其他人的用户或组。
所以...
- 我可以将第三方 AD 连接到我的 WAAD 并让他们对我的应用程序的用户进行身份验证,而不损害我的 WAAD 的安全性吗?
- 如果是这样,配置此设置的最佳方法是什么?例如,我会使用标准的联邦服务软件,还是有更合适的软件?
1) 您绝对可以将 Azure AD 应用程序公开给其他 Azure AD 租户的用户,而无需管理他们的目录或授予他们对您的目录的任何访问权限。 Azure AD 文档将此类应用称为 "multi-tenant"。您可以在 https://azure.microsoft.com/en-us/documentation/samples/active-directory-dotnet-webapp-multitenant-openidconnect/ 中找到详细示例。
2) 多租户应用程序在所有参与目录都有其对应的 Azure ADS 租户的假设下运行。例如,当他们确实设置了 Office365 或任何其他云服务时就是这种情况。鉴于应用程序的及时供应以及权限和访问规则的实施依赖于存储在共享基础设施中的目录和用户(尽管彼此仍然完全隔离,一如既往),直接联合在这种情况下不起作用健全的多租户系统中的情况)。
请尝试示例,希望它有助于使上述内容更加具体。 HTH
您还可以查看 Azure AD B2B 和 B2C(预览版)选项 - https://blogs.technet.microsoft.com/ad/2015/09/16/azure-ad-b2c-and-b2b-are-now-in-public-preview/
我目前正在设置一个 ASP.NET MVC 应用程序,它将托管在 Windows Azure 平台上。该应用程序可能由数百个第三方使用,每个第三方都有自己的个人用户组,需要通过登录进行身份验证。我正在考虑使用 Windows Azure Active Directory (WAAD) 作为身份验证部分.
显然我可以使用 WAAD 为每个用户设置单独的登录名,然后将他们添加到已经为他们所属的第三方设置的组中。
这对大多数第三方来说可能就足够了。但是,有些可能已经拥有自己的 Active Directory (AD),它可能是也可能不是 WAAD,所有用户都是成员。我想知道是否有一种方法可以相对轻松地为他们提供一种将他们的 Active Directory 连接到我的 WAAD 的方法,从而允许他们的目录用户使用我们的 WAAD 进行身份验证。
我已阅读有关通过同步或使用联合登录将本地 AD 与 WAAD 集成的信息。但是,所有文章似乎都针对 "your" 与 "your" WAAD 链接的本地 AD。显然,由于您同时管理这两个目录,因此存在固有的信任。但是,出于明显的原因,我只信任第三方来验证他们的用户,不想开放一种机制,让他们可以管理我的 WAAD 并影响其他人的用户或组。
所以...
- 我可以将第三方 AD 连接到我的 WAAD 并让他们对我的应用程序的用户进行身份验证,而不损害我的 WAAD 的安全性吗?
- 如果是这样,配置此设置的最佳方法是什么?例如,我会使用标准的联邦服务软件,还是有更合适的软件?
1) 您绝对可以将 Azure AD 应用程序公开给其他 Azure AD 租户的用户,而无需管理他们的目录或授予他们对您的目录的任何访问权限。 Azure AD 文档将此类应用称为 "multi-tenant"。您可以在 https://azure.microsoft.com/en-us/documentation/samples/active-directory-dotnet-webapp-multitenant-openidconnect/ 中找到详细示例。 2) 多租户应用程序在所有参与目录都有其对应的 Azure ADS 租户的假设下运行。例如,当他们确实设置了 Office365 或任何其他云服务时就是这种情况。鉴于应用程序的及时供应以及权限和访问规则的实施依赖于存储在共享基础设施中的目录和用户(尽管彼此仍然完全隔离,一如既往),直接联合在这种情况下不起作用健全的多租户系统中的情况)。 请尝试示例,希望它有助于使上述内容更加具体。 HTH
您还可以查看 Azure AD B2B 和 B2C(预览版)选项 - https://blogs.technet.microsoft.com/ad/2015/09/16/azure-ad-b2c-and-b2b-are-now-in-public-preview/