azure - Azure Active Directory和联合身份验证

我们正在使用Azure Active Directory和联合身份验证。这没有问题 - 但是我们需要能够让用户使用除登录的Windows凭据之外的凭据登录。

现在发生的事情是

用户导航到我们的网络应用程序，Azure ADAL for JavaScript尝试登录
用户被重定向到https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=xxxx&redirect_uri=xxxx&client-request-id=xxxx&x-client-SKU=Js&x-client-Ver=1.0.2&nonce=xxxx
向用户显示用户名和密码框。
输入用户名（即使是其他人的用户名）（只要用户名文本框中的焦点丢失），页面就会显示

此电子邮件似乎与多个帐户一起使用微软。你想用哪一个？工作或学校帐户工作或您的工作或学校指定的学校帐户

点击＆＃34;工作或学校帐户＆＃34;后，会向用户显示

重定向我们会将您带到您组织的登录页面。

页面重定向到网址

https://ds1.mydomain.com/adfs/ls/auth/integrated/?username=me%40mydomain.com&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%xxxxx&popupui=1

用户使用其活动的Windows凭据自动登录（即使他们在上一页输入了不同的用户名）。

如果我使用带有非域（本地）帐户的Windows会话导航到URL https://ds1.mydomain.com/adfs/ls/auth/integrated/?username=me%40mydomain.com&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%xxxxx&popupui=1，我会收到标准的集成身份验证提示

所以 - 看起来我们的ADFS服务器在IIS网站上使用集成Windows身份验证。

我的问题是 - 如何允许用户以Web应用程序的其他域用户身份登录。我可以使用特殊的ADFS登录URL吗？如果是这样，我如何告诉Azure应用程序使用该URL。或者有没有办法按需要以其他方式禁用集成身份验证？

谢谢。

更新：

我看到如果我将ADFS URL指向基本的auth端点

https://ds1.mydomain.com/adfs/ls/auth/的基本 /用户名=我％40mydomain.com＆安培; WA = wsignin1.0＆安培; wtrealm =瓮％3afederation％3aMicrosoftOnline＆安培; wctx = estsredirect ％3D2％26estsrequest％XXXXX＆安培; popupui = 1

我被提示进行基本身份验证（正是我想要的）...那么如何告诉我的Azure AD或Azure AD App使用哪个登录URL？我怎样才能有条件地控制它？

Azure Active Directory和联合身份验证

2 个答案: