我正在开发多租户ASP.NET MVC应用程序,并希望使用Azure AD进行身份验证。此应用程序也将由外部用户访问。我在MSDN上读到了组织外部的用户如何使用Azure AD访问应用程序。
我的问题是,如果不将Azure AD与内部部署的Windows Server AD集成,是否可以在Azure AD中创建/维护所有用户(内部AD(内部部署)用户+外部用户)而不使用内部部署AD ?这是因为只有少数内部用户将使用此应用程序,但外部用户也将访问。
答案 0 :(得分:0)
如果您希望本地用户具有SSO体验和/或能够在其内部使用的云中使用相同的凭据,那么您必须将Azure AD租户与您的 - 前提服务器Active Directory。你有两种选择。
Directory Sync with Password Sync。这将在Azure AD中存储您的本地用户密码的哈希值。用户仍然会面临对云应用程序进行身份验证的挑战,但至少他们可以使用相同的本地凭据。
Directory Sync with Single Sign-On。这需要在本地设置ADFS,但具有为用户提供完整SSO体验的好处。如果用户已经在本地进行了身份验证,则在访问您的云应用程序时,他/她不会受到凭据的质疑。
展望未来,请关注新的AAD Sync工具。它最终会用一些附加功能取代DirSync。有几个关于它的博客here和here。
回到您的问题,您只需在Azure AD中创建和管理您的用户即可。既然你说你只有“少数”本地用户,也许这更符合你的喜好。只要意识到,如果这样做,您的本地用户将拥有内部部署和云的不同登录凭据。但是,选项#1(上面)非常容易设置并且正常工作,这是我建议的,这样您的几个本地用户就可以获得良好的体验,而且您不必在Azure AD中单独维护它们。如果本地用户的数量增长,那么您已经拥有适当的支持它们,而无需为您做任何额外的工作。