Azure Active Directory和聯合身份驗證

Question

我們使用Azure Active Directory和聯合身份驗證。這沒有問題 - 但我們需要讓用戶使用登錄的Windows憑據以外的憑據登錄。

現在發生的是

• 用戶導航到我們的Web應用程序，並在Azure ADAL爲JavaScript嘗試登錄
• 用戶被重定向到https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=xxxx&redirect_uri=xxxx&client-request-id=xxxx&x-client-SKU=Js&x-client-Ver=1.0.2&nonce=xxxx
• 用戶呈現一個用戶名和密碼框。
• 在輸入用戶名（即使是別人的用戶名）（一旦焦點從用戶名文本框丟失），頁面顯示

它看起來像這樣的電子郵件與以上使用一個帳戶從 微軟。你想使用哪一個？工作單位或學校帳戶工作 或學校帳戶由工作單位或學校指定

• 一旦點擊「工作單位或學校帳戶」，用戶呈現

重定向我們正在做你到你的組織的登錄頁面。

• 將頁面重定向到URL

https://ds1.mydomain.com/adfs/ls/auth/integrated/?username=me%40mydomain.com&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%xxxxx&popupui=1

• 用戶在使用他們的活動Windows憑據（即使他們進入了前一頁上不同的用戶名自動登錄）。

如果我瀏覽到使用與非域（本地）帳戶Windows會話的URL https://ds1.mydomain.com/adfs/ls/auth/integrated/?username=me%40mydomain.com&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%xxxxx&popupui=1，我得到一個標準的集成身份驗證提示

所以 - 好像我們的ADFS服務器使用在IIS網站上集成Windows身份驗證。

我的問題是 - 我如何允許用戶以web應用程序的其他域用戶身份登錄。是否有我可以使用的特殊ADFS登錄URL？如果是這樣，我該如何告訴Azure應用使用該URL。或者有沒有辦法按需要以其他方式禁用集成身份驗證？

謝謝。

UPDATE：

我看到，如果我點ADFS URL的基本身份驗證端點

https://ds1.mydomain.com/adfs/ls/auth/基本 /?username=me%40mydomain.com & WA = wsignin1。0 & wtrealm =骨灰盒％3afederation％3aMicrosoftOnline & wctx = estsredirect％3D2％26estsrequest％XXXXX & popupui = 1

提示我輸入基本身份驗證（正是我想要的）......讓我怎麼告訴我的Azure的AD或Azure AD App使用什麼登錄URL？我怎樣纔能有條件地控制它？

Answer 1

其實答案非常簡單（與小提琴手一些幫助）：

添加&提示=登錄重定向到login.microsoftonline.com當由ADAL的JavaScript生成的查詢字符串。這會導致MS門戶重定向到ADFS表單身份驗證URL，而不是使用集成安全性的URL。

Answer 2

您需要從相關機器上的本地Intranet區域刪除AD FS，以便它們提示或更好地查找AD FS中基於用戶代理的目標，並配置這些機器以發送觸發器的用戶代理基於表單的AuthN。

看一看https://technet.microsoft.com/en-us/library/dn727110.aspx瞭解更多信息。