我目前正在设置一个将在Windows Azure平台上托管的ASP.NET MVC应用程序。该应用程序可能被数百个第三方使用,每个第三方都有自己的个人用户组,需要通过登录进行身份验证。我正在考虑使用Windows Azure Active Directory(WAAD)进行身份验证。
显然,我可以使用WAAD为每个用户设置单独的登录,然后将它们添加到为其所属的第三方设置的组中。
这对大多数第三方来说可能已足够。但是,有些人可能已经拥有自己的Active Directory(AD),它们可能是也可能不是WAAD,并且所有用户都是成员。我想知道是否有一种方法,我可以相对容易地为他们提供一种方式将他们的Active Directory连接到我的WAAD,允许他们的目录用户使用我们的WAAD进行身份验证。
我已经阅读了有关通过同步或使用联合登录将内部部署AD与WAAD集成的信息。但是,所有这些文章似乎都是针对“你的”本地AD与“你的”WAAD相关联。显然,既然你管理这两个目录,就会有固有的信任。但是,出于显而易见的原因,我只信任第三方对用户进行身份验证,并且不想打开一种机制,使他们可以管理我的WAAD并影响其他人的用户或群组。
因此...
答案 0 :(得分:1)
1)您绝对可以将Azure AD应用程序从其他Azure AD租户公开给用户,而无需管理其目录或授予他们访问您的目录的权限。 Azure AD文档将这类应用程序称为"多租户"。您可以在https://azure.microsoft.com/en-us/documentation/samples/active-directory-dotnet-webapp-multitenant-openidconnect/中找到详细示例。 2)多租户应用程序在假设所有参与目录都具有其相应的Azure ADS租户的情况下运行。例如,他们确实设置了Office365或任何其他云服务。直接联合在这种情况下不起作用,因为应用程序的及时供应以及权限和访问规则的实施依赖于存储在共享基础架构中的目录和用户(尽管仍然完全相互隔离,但总是如此声音多租户系统中的案例)。 请尝试样品,希望它有助于使上述更具体。 HTH
答案 1 :(得分:0)
您还可以查看Azure AD B2B和B2C(预览中)选项 - https://blogs.technet.microsoft.com/ad/2015/09/16/azure-ad-b2c-and-b2b-are-now-in-public-preview/