我們有一個在 Windows Azure 中運行的 Web 應用程序,各種客戶都可以登入。存在於我們的應用程式中。我研究了幾種選擇,但還沒有真正找到對我來說可行的選擇。下面我列出了我一直在關注的內容,但基本上我想要一些關於如何解決這個問題的建議。
有第三方服務可能能夠做到這一點,但通常這些服務需要我們和我們的客戶完成一些或大量的工作才能實現。這也可能意味著我們必須根據客戶偏好實施多個或大量此類解決方案。
大多數(如果不是全部)客戶都會有一個本機 Active Directory,如果我們也能以某種方式將其與我們的應用程式一起使用,那就完美了。將我們的網路應用程式連接到本機 AD 並不是一個真正的選擇,因為系統管理員(可以理解)不會授予我們存取它的權限。
我們也可以在 Azure 中設定 AD。所以我想也許我們可以從本地 AD 同步到 Azure 中的 AD,然後從那裡取得它。然而,在測試 Microsoft 的 Azure Active Directory Connect 工具時,它要求我提供 Azure 環境的管理員登入資訊。顯然,我們不想讓客戶存取我們的 Azure 門戶,因此看起來這也行不通。
所有這一切的另一個問題是,我是一名程式設計師,所有 AD 的東西都有點超出了我的舒適區,我可能會在錯誤的地方尋找。
有人有這方面的經驗,能指出我正確的方向嗎?
答案1
ADConnect 是將本機目錄與雲端同步的方法。它要求輸入使用者名稱密碼來設定初始同步,並在您使用該工具再次登入時對同步進行變更。在設定時,您還需要本機管理員的 DA 帳戶。如果您沒有這兩個帳戶或兩者都沒有,則無法完成設定。
根據您的建議,Azure B2C 就是您想要設定的。或者,在您的網域和客戶網域之間設定 ADFS 聯合,這樣您就不必費力詢問任何使用者名稱/密碼。我假設您的應用程式具有聲明意識,並且您有自己的 Windows AD 來配置 ADFS。
如果您正在嘗試設定 ADFS 測試環境,我按照 4 部分部落格建立了我的第一個實驗室 - 希望它也適合您。
http://blogs.technet.com/b/askpfeplat/archive/2013/12/09/how-to-build-your-adfs-lab-on-server-2012-part-1.aspx http://blogs.technet.com/b/askpfeplat/archive/2013/12/23/how-to-build-your-adfs-lab-on-server-2012-part2-web-sso.aspx
答案2
如果您將應用程式設定為支援 SAML 驗證,則客戶可以設定其 ADFS(或其他)以與其 AD 搭配使用。這通常是對第三方應用程式進行 SSO 的處理方式。
工作方式是您仍然管理身份和對應用程式的訪問,但客戶可以將其與他們自己的可以包含 AD 用戶名的「聲明」聯繫起來。這就是 ADFS 以及其他聯合身分平台所做的事情(聯合部分)。然而,您確實需要提供一種在身分提供者(您的和他們的)之間建立信任的方法。
在您這邊,您可以建立自訂身分提供者、使用第三方服務或部署 ADFS 等聯合伺服器。但還有其他一些(商業的和開源的),例如 PingFederate 和 Shibboleth。實際上有數百種選擇。如果您想要一個 SDK - Ping Identity(PingFederate 開發人員)可以提供適用於多種語言(Java、C# 等)的 SDK。我確信也有開源 SDK 可以提供協助。
身份是一個複雜的主題- 您越能將其轉移給專門的公司或團隊,您的情況就會越好(如其他答案中所述,Azure B2C 處於預覽狀態,但如果您希望更快地進行,請考慮第3 方)