UWP 应用程序中的 ADFS SSO
ADFS SSO in UWP App
我正面临一个希望很简单的问题:
我需要创建一个包含 WebViewer 控件的包装器应用程序,并且应该在 Azure 门户中显示一个页面。
我正在 VS 2017 中的属于域 'DEV' 的虚拟机上开发应用程序。我想实现的是,如果来自 'PROD' 域的用户在 'PROD' 域中的计算机上启动应用程序,他们将通过 SSO 对 AAD/Office 365 进行身份验证,并可以在中查看页面Azure(不是 azurewebsites.net 中的站点,而是需要您进行身份验证的站点 - 即 portal.azure.com!)。
我还无法在 'PROD' 域上测试该应用程序,但根据下面的答案,它可以工作,不是吗?
如果不能,我可以完成白皮书中提到的步骤并手动对用户进行 SSO(我假设是第 5.3 章)吗?
编辑
花了我一段时间,但现在是 - 我让 SSO 工作了,有点...
最后,似乎使用 WebViewer 控件允许 SSO,但它仍然要求您至少输入一次用户名(例如 user@tenant.com),但您不需要密码。这可能不是最佳解决方案,但没关系。
感谢杨伟的支持
对于您的方案,如果设备已加入 AAD,则用户可以在 PROD 域中进行 SSO。
但这应该对已加入的 AAD 租户进行 SSO。我还假设您想要使用 ADFS 单点登录到 Azure 门户。所以,还需要把ADFS和AAD整合起来。
为什么?
首先,如果您的应用程序尝试通过 pop-up 浏览器登录 Azure 门户,并且它需要 SSO。 AAD join 可以实现这一点。如果设备加入了 AAD,它将获得您设备的刷新令牌。对于 windows 10,IE 和 Edge 可以使用刷新令牌来 SSO AAD 端点。
其次,如果要使用ADFS,必须将ADFS与Azure AD集成。这样,AAD 身份验证端点将重定向到您的 ADFS 以使用您的本地域访问 SSO。
参考:
How to configure hybrid Azure Active Directory joined devices
Federate multiple instances of Azure AD with single instance of AD FS
Azure AD Connect and federation
希望对您有所帮助!
我正面临一个希望很简单的问题:
我需要创建一个包含 WebViewer 控件的包装器应用程序,并且应该在 Azure 门户中显示一个页面。
我正在 VS 2017 中的属于域 'DEV' 的虚拟机上开发应用程序。我想实现的是,如果来自 'PROD' 域的用户在 'PROD' 域中的计算机上启动应用程序,他们将通过 SSO 对 AAD/Office 365 进行身份验证,并可以在中查看页面Azure(不是 azurewebsites.net 中的站点,而是需要您进行身份验证的站点 - 即 portal.azure.com!)。
我还无法在 'PROD' 域上测试该应用程序,但根据下面的答案,它可以工作,不是吗?
如果不能,我可以完成白皮书中提到的步骤并手动对用户进行 SSO(我假设是第 5.3 章)吗?
编辑
花了我一段时间,但现在是 - 我让 SSO 工作了,有点...
最后,似乎使用 WebViewer 控件允许 SSO,但它仍然要求您至少输入一次用户名(例如 user@tenant.com),但您不需要密码。这可能不是最佳解决方案,但没关系。
感谢杨伟的支持
对于您的方案,如果设备已加入 AAD,则用户可以在 PROD 域中进行 SSO。 但这应该对已加入的 AAD 租户进行 SSO。我还假设您想要使用 ADFS 单点登录到 Azure 门户。所以,还需要把ADFS和AAD整合起来。
为什么?
首先,如果您的应用程序尝试通过 pop-up 浏览器登录 Azure 门户,并且它需要 SSO。 AAD join 可以实现这一点。如果设备加入了 AAD,它将获得您设备的刷新令牌。对于 windows 10,IE 和 Edge 可以使用刷新令牌来 SSO AAD 端点。
其次,如果要使用ADFS,必须将ADFS与Azure AD集成。这样,AAD 身份验证端点将重定向到您的 ADFS 以使用您的本地域访问 SSO。
参考:
How to configure hybrid Azure Active Directory joined devices
Federate multiple instances of Azure AD with single instance of AD FS
Azure AD Connect and federation
希望对您有所帮助!