我正在尝试使用Azure AD Federated用户在IIS中托管的Web应用程序中使用Windows身份验证(使用Kerberos / NTLM)但似乎无效。以下是整个基础架构的详细信息:
- 我有一个配置了Azure AD域服务的Azure AD(例如skj.onmicrosoft.com)
- 我有一个与Azure AD联合的内部Windows AD(例如skjtest.com)。本地用户在AAD中可用,SSO可以使用,但密码哈希不与AAD同步。
- 在Azure中创建VM并加入AAD域skj.onmicrosoft.com
- 我创建了一个Web应用程序,它使用Windows身份验证并托管在上述Azure VM中的IIS中
- 当我尝试使用AAD用户(例如aaduser1@skj.onmicrosoft.com)登录Web应用程序时,使用Kerberos和NTLM可以正常工作
- 但是,当我尝试使用联合身份登录(例如feduser1@skjtest.com)时,它无法显示401 Unauthorized Status代码。
我的问题是,这是否可以使Windows Auth(使用Kerberos或NTLM)与联合身份一起工作?如果是,请告诉我如何实现这一目标。