我在这里有点盲目,因为我不是 Azure 专家,除了 O365 和 DirSync 之外,我还没有真正搞砸它。
我们有一个用 Ruby on Rails 编写的第 3 方应用程序,他们说下一个版本将支持 SAML,并且可以通过可能与 Azure AD 同步来执行 SSO。他们的云应用托管在 Azure 上。第 3 方还没有对我们说 HOW。他们说他们将把它作为一个 Windows 应用程序发布。我在 Azure 中看到诸如“从库中添加应用程序”之类的东西……这就是我要找的东西吗?
我的问题是,如果托管在 Azure 中,我们现有的 Office 365 附带的 Azure AD 是否允许使用此第 3 方应用程序进行此类 SSO 设置?如果是这样,关于做这样的事情的任何链接或信息?我最终搜索的所有内容都以我回到 DirSync 或类似内容而告终,我知道这不是我正在寻找的 DirSync。
这是我在下面的 Azure AD 门户中所追求的吗?
您的自定义应用程序必须按照本在线指南中的流程向 Azure AD 注册为自定义应用程序。有几个选项可以集成您的自定义应用程序 - 您可以执行基于密码或基于联合的操作。
如果您的应用程序将支持基于 SAML 的身份验证,那么您将使用基于联合的身份验证,这在上述指南中未涉及,但在 MSDN的几个地方有更多详细信息。
请注意,您必须订阅基本或高级 Azure AD 层才能访问此功能。
这是两个协议的故事,Office365 支持快速配置支持 OpenIDConnect 协议的应用程序,很可能您使用某些受信任的身份提供商提供的 OpenID 登录此站点:(您应该能够使用由提供的 OpenID 登录你的 O365)
SAML 2.0 是更完整的 Web SSO 实现,但使用 SOAP/XML - 而 OpenIDConnect 用户 RESTful/JSON 和服务提供者/资源服务器 (Apps) 可以动态注册,但您将寻找的许多其他功能将“不可用”范围'
AzureAD SAML 身份提供程序不是该协议的完整实现,它不支持 eduperson 架构,也不会从 URL(例如从联合)下载元数据。
微软是 OpenID 基金会的成员,还有许多其他商业既得利益集团,如谷歌、Facebook、Paypal 或其他任何抱着“所有用户都属于我们”心态的人,所以他们自然会削弱 Azure AD 做任何其他有用的事情支持基本功能 - 想要授予一组用户从门户访问某些应用程序的权限?- 那是 Azure AD 高级版!- 顺便说一句,门户网站只是一个支持 OpenID 登录的应用程序列表 - SF 也可能列在那里,它没有任何意义,它只是很多奇才,还列出了支持 SAML 协议的应用程序这些将需要 Azure AD 的一些配置和相关应用程序的一些配置 - 所以它' 除了让您知道“此应用支持 SAML”之外,即使列出这些(在华丽的门户中)实际上也毫无意义。Azure AD 还将支持身份验证代理,其中一个应用程序不支持 SSO 协议,它可以配置为一次性身份验证,然后记住凭据,因此它也暴露了这些残酷的黑客攻击。AzureAD 和 Office365 酷助手的有趣之处在于,这一切都始于 DirSync——这些协议发明解决的非常邪恶的问题——在这里!有我所有的用户???- 所以在这方面 AzureAD 都是皮大衣,没有短裤。所以它也暴露了这些残酷的黑客行为。AzureAD 和 Office365 酷助手的有趣之处在于,这一切都始于 DirSync——这些协议发明解决的非常邪恶的问题——在这里!有我所有的用户???- 所以在这方面 AzureAD 都是皮大衣,没有短裤。所以它也暴露了这些残酷的黑客行为。AzureAD 和 Office365 酷助手的有趣之处在于,这一切都始于 DirSync——这些协议发明解决的非常邪恶的问题——在这里!有我所有的用户???- 所以在这方面 AzureAD 都是皮大衣,没有短裤。
您可以在 Domain 上运行所有这些,使用 Shibboleth 的 SAML 的完整实现或使用 SAML 和 OpenIDConnect 的捆绑 SSO 协议栈,使用 gluu https://www.gluu.org/gluu-server/overview/它没有瘫痪,是免费的,您不必将所有用户都交给具有议程的第三方。我不推荐上述任何一种方法 - 我只是让您知道您不需要 AzureAD,并且您参与身份联合的次数越多,如果没有 2 个协议的“高级功能”,它就会成为更多障碍社区志愿者竭尽全力交付。