Azure Web角色身份驗證策略

Question

我有一個用於Azure部署的ASP.NET Web角色項目，需要進行身份驗證。
我必須在Office 365和內部部署Active Directory之間進行選擇。
看起來像需要使用訪問控制服務集成到Azure Active Directory。 兩者的優缺點是什麼？ 另外如果有任何其他的可能性。

Answer 1

正如astaykov在他對你的問題的評論中提到的那樣，在這種情況下你並不侷限於涉及訪問控制服務。不知道他爲什麼不提交該評論作爲答案。

如果您真的必須違反您的Office 365或On Premise AD，那麼您真正要問的是兩者之間的區別。我將列出一些想法，但首先，如果你想在這裏實現這些則是一些鏈接：

從MS奉獻的身份：http://msdn.microsoft.com/en-us/security/aa570351.aspx

在Azure中部署使用ADFS V2： http://channel9.msdn.com/shows/Identity/WIF-Workshop-9-WIF-and-Windows-Azure/這是一個小舊的材料，我找不到使用WIF連接更直接的直接ADFS V2。你根本不需要調用ACS。可悲的是，ACS發佈時，這被誤解了很多。

使用Office 365/Windows Azure的AD：http://msdn.microsoft.com/library/windowsazure/dn151790.aspx

注：我已經連接Azure中運行，直接ADFSV2網站，但我已經沒有機會與WAAD/Office 365的東西的工作呢。

如果你選擇在公開場合公開你的AD，那麼你可能會通過使用ADFS V2公開它。這就是爲運行WIndows Identify Foundation（WIF）對象的代碼打開端點以接觸和處理身份驗證。這樣做的結果是，您不必擔心Office 365登錄或WAAD，如果您沒有任何其他原因的服務，可能是一個有趣的選擇，但只有這一種情況。不利的一面是，您正在自己的位置在端點上向您的AD公開代理。如果您失去了與互聯網的連接，那麼沒有人試圖使用雲中的應用程序將能夠進行身份驗證。如果雲中應用的用戶只能在防火牆後面訪問它（例如在辦公室或甚至通過VPN），我也可以選擇這種方式。這是因爲您可以進行設置，以便您的應用程序使用未暴露於Internet的ADFS端點，但是如果它們位於防火牆後面，它仍然可以工作。這幾乎可以確保只有已經在防火牆後面的用戶才能使用您的應用。

如果您選擇使用Office 365/WAAD集成，那麼優勢在於您可以與先前的AD進行同步，以便爲網絡上的資源以及雲中的應用程序提供單點登錄。您還可以訪問您的雲應用程序，使其更具彈性，因爲它們無需依賴於您公開的ADFS V2端點。如果您出於任何其他原因使用Office 365/WAAD（例如您的employess使用Office 365進行電子郵件，協作等），那麼這是我首先要看的選項。

如果您想與其他識別提供商（如Google，Facebook或其他公司）進行整合，您應該查看ACS。從技術上講，當時你也不必使用ACS，但它肯定會爲你節省大量的使用ACS的工作量，而不是爲每個供應商自己編寫集成代碼。