我们希望将Azure Active Directory用作面向外部应用程序的用户存储。目前,我们的MVC / C#4.5应用程序(使用WIF)通过被动联合对内部部署的ADFS 2.0代理/服务器进行身份验证,我们希望将此“移植”到Azure。我们采用这种方式,我们让ACS位于AAD和我们的应用程序之间,以便ACS取代ADFS,而AAD正在取代Active Directory(在本地)。
从技术角度来看,我们有这个工作。但是,我们遇到的一个主要问题是,用户必须不仅使用用户名登录,还必须使用域名登录。强迫我们的用户使用虚构的电子邮件地址作为用户名是不合理的(而且只是一个交易破坏者)。
有没有办法设置它,以便用户不需要输入域名?在我们的例子中,我们在ACS后面只有一个识别方:一个AAD目录。所以我们总是事先知道域名应该是什么。
提前致谢!
答案 0 :(得分:2)
您是否希望用户仅使用其用户名(例如“mcollier”)而不是他们的完整帐户名称(例如“mcollier@mytenant.onmicrosoft.com”)对Windows Azure AD进行身份验证?如果是这样,我认为不是目前可能。
如果我理解正确,该应用程序正在使用ACS作为Windows Azure AD的联合提供程序。而且只有Windows Azure AD,对吗?如果仅使用一个身份提供商,ACS在此方案中提供了哪些好处?
目标是在Windows Azure AD中使用与本地Windows Server AD相同的用户吗?如果是这样,利用新的DirSync w /密码哈希同步启用应该可以解决问题。
答案 1 :(得分:0)
我可以建议一个解决方法。您可以显示一个屏幕,只显示用户名。获得用户名后,您可以使用login_hint参数在授权URL中发送username@mytenant.onmicrosoft.com。它将填写用户名,因此他们只会在没有电子邮件的情况下输入用户名。