我正在IIS上使用PHP开发REST服务。在开发过程中,我在域控制器上使用IIS的Windows身份验证对其进行了测试,并且它可以正常运行并针对域Active Directory进行身份验证。我甚至可以将用户限制在某些安全组中。
目前,我正在尝试将此网站部署到Windows Azure,但我不知道如何使身份验证工作。我整个星期都在寻找解决方案,但我发现的是关于如何设置ADFS,AD同步和单点登录的说明 - 这些都不合适。
我的web.config看起来像这样:
<configuration>
<system.webServer>
<security>
<authorization>
<remove users="*" roles="" verbs="" />
<add accessType="Allow" roles="SomeSecurityGroup" />
</authorization>
</security>
</system.webServer>
<system.web>
<authentication mode="Windows" />
</system.web>
</configuration>
任何建议都将不胜感激。
答案 0 :(得分:1)
虽然在Windows Azure上,您可以将站点部署为虚拟网络上的Web角色,该虚拟网络已部署Active Directory并使用Windows身份验证,就像使用本地内容一样,您将错过因为在Azure和/或Windows Azure和Windows Azure网络之间的虚拟专用网络(WPN)上部署的Active Directory实例的管理方式,您仍然需要管理相当数量的基础架构。
然后,他们的关键是,使用Windows Azure Active Directory,Windows Azure访问控制服务,或者 - 坦率地说 - 任何其他基于WS联合的身份提供程序,但基于WS-federation而不是Kerberos令牌。This文章介绍了从PHP使用Windows Azure Active Directory的基础知识,并指出了正确的方向,但基本上我的想法是使用已知的身份提供程序而不是基于声明的WS-Federation和基于声明的身份验证依赖于不易映射到互联网标准的Windows身份验证