0
iam目前正在研究如何爲我們的WebService實現單點登錄。 這就是我到目前爲止。Azure Active Directory SSO - 帳戶映射
- 如果我們的WebService的客戶有他們可以與他們的Active Directory用戶帳戶給我們的WebService登錄,如果我們提供了SAML,OAuth2用戶,OpenID的或任何授權protocoll我們選擇和蔚藍支持的nessecary接口的AzureActiveDirectory。
- 客戶也可以將其本地網絡Active Directory同步到他們的Azure AD,並使用他們的域帳戶登錄到我們的WebApplication。
- 客戶需要使用myapps.microsoft.com門戶「包裝」認證。
- 一旦所有設置都正確,身份提供者(AzureAD)將提供(例如)經過身份驗證的用戶身份。
這是我的問題開始。 當然,我需要以某種方式將AzureAD提供的身份映射到我們WebService的某個帳戶 - 我們不能簡單地使用提供的身份。
據我瞭解,您可以授予AzureAD在目標WebService上以當前登錄用戶的名義創建帳戶的權利。 (其名稱爲:在天藍色管理中啓用自動用戶配置門戶)。
但是,當使用Box,Canvas或Google應用程序對此進行測試時,我失敗了。要麼我得到了一個錯誤,或者在谷歌應用程序的情況下,我只是被要求用我的azure AD測試賬戶登錄,然後要求輸入我的谷歌賬戶的密碼和用戶名(我將SSO設置爲天藍AD信任關係 - 所以這個應該不會發生)
有人可以提供一些見解如何完成以下內容?
用戶通過SSO進行身份驗證後,我想爲我們的WebSerivce創建一個帳戶,然後僅將該用戶的憑據保存在該特定用戶的Active Directory中。 因此,如果用戶第二次登錄,我們可以檢查是否有已經存在的帳戶並使用此帳戶登錄用戶。
(我被微軟告訴我,這也許是可能的Azure的權限管理,但我真的不能找到好文檔)
存儲的關係:「微軟AD身份< - >我們的WebServiceAccount全權證書」我們這邊不是我們所希望的,因爲我們不能以一種我們不知道內容是什麼的方式來加密數據。 (或有,我不知道它呢)
「獎金問題」: 我可以支持桌面應用程序的SSO嗎? (我是否需要提供代理Web應用程序,或者桌面應用程序可以直接執行此操作?)
感謝您的回答。你的鏈接中的選項2正好描述了我想要做的事情。 - 是的,我需要我們的客戶已經擁有Azure AD,然後作爲第二步,我們將支持您在配置用戶帳戶方面提出的建議。 – Jalatiphra 2015-03-02 08:23:14