我们正在全面实施Azure,并将Azure AD用作所有本地和云服务的实际身份和访问管理服务。
对于基于Azure的服务(尤其是PaaS),存在对Azure AD集成的本机支持,并且它可以很好地适用于我们大多数的身份用例(系统到系统,用户到系统)。
但是,对于本地服务,我们计划在Azure AD终结点上的.net核心中实现一薄层抽象,以作为“企业身份服务”公开。该企业身份服务将是https服务。 “企业身份服务”将充当Azure AD终结点上的立面(例如oauth2 / authorize或oauth2 / token),以便使用者/客户端不了解底层的Azure AD组件。
这有助于我们将来验证本地应用程序,并将它们与Azure AD分离,以防万一我们决定迁移到另一个身份提供者。
在使用Azure AD实施身份时,这是一种常见的方法吗?还是不必要的复杂性,我们应该坚持直接使用Azure AD。
谢谢