使用Azure目录为托管Java应用程序进行身份验证

Question

我们的产品是托管的Web应用程序，需要由客户端X使用SSO访问。 客户端凭据在Azure云平台上维护，用户在登录Windows PC时进行身份验证。 我们将应用程序集成到客户端的Windows环境中的最佳方式是什么，以便所有用户都可以在不登录我们的应用程序的情况下进行身份验证？ 客户指出我们可以使用ADAL，但我不确定这是否有效，因为我们没有自己的基于AD或基于LDAP的用户管理平台。我们目前将所有用户管理数据存储在数据库中。

我是这个主题的新手，所以非常感谢任何指导。

Answer 1

根据我的理解，问题是来自门户网站的经过身份验证的用户在Java Web应用程序和门户网站不相同时访问使用SSO的Java Web应用程序的URL链接。

根据我的经验，我认为您可以尝试使用Azure AD应用程序代理来解决此问题。您可以参考文档https://azure.microsoft.com/en-us/documentation/articles/active-directory-application-proxy-sso-using-kcd/#working-with-sso-when-on-premises-and-cloud-identities-are-not-identical以了解Application Proxy的应用程序场景。

您可以尝试按照以下步骤来实施需求。作为参考，有一些文件解释了如何为每一步做。

1. 在Azure门户上启用Azure AD应用程序代理，然后安装＆amp;注册您的应用程序的代理连接器。有关详细信息，请参阅文档https://azure.microsoft.com/en-us/documentation/articles/active-directory-application-proxy-enable/。
2. 使用应用程序代理发布您的应用程序，请按照文档https://azure.microsoft.com/en-us/documentation/articles/active-directory-application-proxy-publish/。
的向导步骤操作
3. 为您的应用和门户启用SSO，请查看https://azure.microsoft.com/en-us/documentation/articles/active-directory-application-proxy-sso-using-kcd/#working-with-sso-when-on-premises-and-cloud-identities-are-not-identical的Working with SSO when on-premises and cloud identities are not identical部分。

如果在实施该计划时出现了一些问题，您可以先参考文档https://azure.microsoft.com/en-us/documentation/articles/active-directory-application-proxy-troubleshoot/进行问题排查。

如有任何疑虑，请随时告诉我。