理解WAAD和ACS背后的概念

时间:2014-04-24 15:03:41

标签: azure identity acs federated-identity azure-active-directory

我知道ACS正在逐步淘汰WAAD。当我第一次准备深入研究Azure时,我有几个问题。我已经有一个Azure帐户(与我的MSDN帐户链接)。

在ACS下,我会为我的应用程序创建一个命名空间,使用Idps和声明映射进行配置。我会将我的应用程序(通过WebAPI2的RESTful API)指向我的命名空间的ACS联合端点。

在WAAD下,我已经看到了我可以在哪里添加自己的应用程序。当我创建新应用程序时,这是否在我的目录中创建了一个租户?我没有看到我可以在哪里注册我的Idp并为我的依赖方配置Idp' s。除了通过社交网络(例如facebook / google / etc)进行身份验证之外,我还想编写一个自定义Idp来点击我的on-premesis用户商店。在WAAD中这可能吗?最后,当在WAAD中创建应用程序(租户)时,它会提示我输入Signon URL。是不是WAAD应该管理签名,就像它在ACS下做的那样?当我通过ACS为网站辩护时,用户被重定向到ACS登录页面,在那里他们可以从Idp列表中进行选择以进行登录。为什么然后,在WAAD下,应用程序开发人员需要在页面上编写代码吗?我对此非常困惑。

1 个答案:

答案 0 :(得分:1)

WAAD不会取代ACS。 WAAD是单一身份提供者(IdP),而ACS can act as a Security Token Service (STS) for multiple IdPs, but is not itself an IdP。将ACS视为一个经纪人,将部分工作与一些常见的身份提供商(Facebook,Google,Yahoo,Live等)集成,以便您作为应用程序开发人员可以编写代码到一个界面多个。

我的建议是继续使用ACS作为联合身份的单点联系人,并将WAAD作为额外的IdP添加到套件中需要它的那些应用程序。这是我们在许多应用程序中遵循的模式,我们将ACS用作主要STS,然后根据我们的需要将一个或多个IdP暴露给应用程序。

关于指向内部用户商店的自定义IdP的问题,您可以考虑使用Thinktecture Identity Server而不是滚动自己的。您可以像在套件中的任何其他IdP一样,从ACS公开Thinktecture Identity Server。