我正面临一个希望简单的问题:
我需要创建一个包含WebViewer控件的包装器应用程序,并且应该在Azure门户中显示一个页面。
我正在VS 2017中在属于“DEV”域的虚拟机上开发应用程序。我想实现这一点,如果来自'PROD'域的用户在'PROD'域中的计算机上启动应用程序,他们将通过SSO向AAD / Office 365进行身份验证,并且可以在Azure中查看该页面(不是azurewebsites.net,但是需要您进行身份验证的网站 - 即portal.azure.com!)。
我还无法在“PROD”域上测试应用,但根据下面的答案,它会起作用,不是吗?
https://stackoverflow.com/a/9593258
如果没有,我可以通过上述白皮书中的步骤和手动SSO用户(我假设第5.3章)?
修改
让我感动,但这里是 - 我让SSO工作,有点......
最后,似乎使用WebViewer控件允许SSO,但它仍然要求您至少输入一次用户名(例如user@tenant.com),但您不需要密码。这可能不是最佳解决方案,但是没关系。
谢谢Wayne Yang的支持。
答案 0 :(得分:1)
对于您的sceanrio,如果设备已加入AAD,则用户可以在PROD域中进行SSO。 但这应该是加入AAD租户的SSO。我还假设您希望使用ADFS SSO到Azure门户。因此,它还需要将ADFS与AAD集成。
<强>为什么吗
首先,如果您的应用程序尝试通过弹出窗口登录Azure门户,它需要SSO。 AAD join可以实现这一目标。如果设备加入了AAD,它将为您的设备获取刷新令牌。对于Windows 10,IE和Edge可以将刷新令牌用于SSO AAD端点。
其次,如果要使用ADFS,则必须将ADFS与Azure AD集成。通过这种方式,AAD身份验证端点将重定向到您的ADFS,以使用您的本地域接近SSO。
<强>参考:
How to configure hybrid Azure Active Directory joined devices
Federate multiple instances of Azure AD with single instance of AD FS
Azure AD Connect and federation
希望这有帮助!