Estou atirando um pouco às cegas aqui, pois não sou um especialista em Azure e realmente não mexo com isso além do O365 e do DirSync.
Temos um aplicativo de terceiros escrito em Ruby on Rails que eles dizem que terá suporte a SAML na próxima versão e pode fazer SSO sincronizando potencialmente com o Azure AD. Seu aplicativo de nuvem está hospedado no Azure. A terceira parte ainda não nos disse exatamente COMO. Eles disseram que vão publicá-lo como um aplicativo do Windows. Vejo no Azure algo como "adicionar um aplicativo da galeria"... é isso que estou procurando?
Minha pergunta é: nosso Azure AD existente que veio com o Office 365 permite essa configuração de SSO com esse aplicativo de terceiros se ele estiver hospedado no Azure? Em caso afirmativo, algum link ou informação sobre como fazer tal coisa? Tudo o que acabo pesquisando acaba voltando para o DirSync ou similar e sei que não é o DirSync que estou procurando.
É isso que estou procurando em nosso portal do Azure AD abaixo?
Seu aplicativo personalizado deve ser registrado no Azure AD como um aplicativo personalizado de acordo com o fluxo do processo neste guia online . Existem algumas opções para integrar seu aplicativo personalizado - você pode fazer com base em senha ou em federação.
Se o seu aplicativo oferecer suporte à autenticação baseada em SAML, você usaria a baseada em federação, que não é abordada no guia acima, mas tem mais detalhes sobre o MSDN em alguns lugares .
Observe que você deve estar inscrito nas camadas Basic ou Premium do Azure AD para acessar esse recurso.
é um conto de dois protocolos, o Office365 suporta configuração rápida de aplicativos que suportam o protocolo OpenIDConnect, é provável que você tenha entrado neste site com um OpenID fornecido por algum provedor de identidade confiável: (você deve conseguir entrar aqui com um OpenID fornecido por seu O365)
SAML 2.0 é a implementação mais completa de um Web SSO, mas usa SOAP/XML - enquanto usuários OpenIDConnect RESTful/JSON e provedores de serviços/servidores de recursos (aplicativos) podem ser registrados dinamicamente, mas muitas outras funcionalidades que você procurará estarão "fora de alcance'
O provedor de identidade AzureAD SAML não é uma implementação completa do protocolo e não oferece suporte ao esquema eduperson, nem fará download de metadados de uma URL (digamos, de uma federação).
A Microsoft é membro da fundação OpenID, juntamente com muitos outros interesses comerciais, como Google, Facebook, Paypal ou qualquer outra pessoa com uma mentalidade de 'todos os seus usuários pertencem a nós', então, naturalmente, eles impedem o Azure AD de fazer qualquer coisa útil que não seja funcionalidade básica de suporte - deseja conceder a um grupo de usuários acesso a algum aplicativo do Portal? - esse é o prêmio do Azure AD! - O portal btw é apenas uma lista de aplicativos que suportam logins OpenID - SF também pode estar listado lá, não significa nada, é apenas um monte de gênios, também listaram aplicativos que suportam o protocolo SAML e isso exigirá alguma configuração do Azure AD e alguma configuração do aplicativo em questão - então é Na verdade, é inútil listar esses (no portal chamativo) além de informar 'este aplicativo suporta SAML'. O Azure AD também oferecerá suporte a um proxy de autenticação, onde um aplicativo não oferece suporte a um protocolo SSO, ele pode ser configurado para uma autenticação única e depois lembrar as credenciais, para expor esses hacks brutais também. O que é engraçado sobre o assistente legal do AzureAD e do Office365 é que tudo começa com um DirSync - o próprio mal para o qual esses protocolos foram inventados - Aqui! tem todos os meus usuários??? - então, nesse aspecto, o AzureAD é todo casaco de pele e sem calcinha. por isso também expõe esses hacks brutais. O que é engraçado sobre o assistente legal do AzureAD e do Office365 é que tudo começa com um DirSync - o próprio mal para o qual esses protocolos foram inventados - Aqui! tem todos os meus usuários??? - então, nesse aspecto, o AzureAD é todo casaco de pele e sem calcinha. por isso também expõe esses hacks brutais. O que é engraçado sobre o assistente legal do AzureAD e do Office365 é que tudo começa com um DirSync - o próprio mal para o qual esses protocolos foram inventados - Aqui! tem todos os meus usuários??? - então, nesse aspecto, o AzureAD é todo casaco de pele e sem calcinha.
Você pode executar tudo isso no domínio, uma implementação completa de SAML com Shibboleth ou uma pilha de protocolo SSO agrupada com SAML e OpenIDConnect com algo como gluu https://www.gluu.org/gluu-server/overview/ não é aleijado, é gratuito e você não precisa entregar todos os seus usuários a terceiros com uma agenda. Não estou recomendando nenhuma das opções acima - estou apenas informando que você não precisa do AzureAD e quanto mais envolvido você estiver na federação de identidade, mais barreira ela se tornará sem os 'recursos premium' de 2 protocolos que os voluntários da comunidade trabalharam duro para entregar.