我正在寻找有关如何将 Azure“IAM”配置为信任外部 IdP/身份验证服务器的指针……我试图找到有关 Azure 文档的方法……这并不容易。帮助将不胜感激...
更多上下文:
我必须解决的挑战应该是“简单的”:我需要使用 3rd 方身份验证/MFA 解决方案来管理对 Azure“云”控制台的访问,控制哪些用户访问控制台等。
所以我的第一个想法是将 Azure 控制台/IAM 配置为使用外部IdP 进行用户访问/SSO ... 现在,查看文档,我可以看到很多关于如何使用 Azure AD 充当 IdP 的信息其他系统,但不是关于如何充当外部 IDP 的 SP。此外,我发现 Azure AD 的所有不同“风味”似乎都有些令人困惑......
我能找到的越近是这样的:https : //docs.microsoft.com/en-us/azure/active-directory/b2b/direct-federation,但我不确定这是否是要遵循的方法...
还有其他文章,如https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp似乎适用于使用 SAML IDP 访问Office 或其他 MS 服务——但不是针对 Azure“租户”本身?
任何提示都超过赞赏?!
(编辑:为了清楚起见,对语法和消息进行了一些清理)
如果您希望来自另一个 IDP 的用户登录(同时在另一个 IDP 上进行身份验证)并在 Azure AD 中接收权限,则直接联合是一种方法。然后可以将其与 Azure MFA 和条件访问策略结合使用,以提供更多“因素”。
但是,如果如您所说,您“只是”想要第三方 MFA 解决方案 - DUO、RSA 和其他一些已经可以与 Azure AD 一起使用。
经过更多搜索后,似乎直接联合路由是要走的“路”,至少在默认情况下(基本 Azure 租户、没有“购买”ADFS 等)......当/如果添加了其他 Azure 服务...
至于其他选项,我看到了来自@discondor 的评论,如果只需要直接将 MFA 添加到Azure,它也给了我一些很好的建议:
如果这些解决方案已经到位,这是一种利用这些解决方案的方法。
当然,其他选择是使用 Azure 自己的 MFA 解决方案......