0

asp.net で構築されたマルチテナント Web サイトがあり、Azure でホストされています。

ログインを検証するために AD に接続するログイン フォームが必要です。社内でホストされている場合、ローカル AD に接続するためのコードは既にありますが、今度は Azure で実行したいと考えています。

このシナリオのカーブボールは、ローカル AD を Azure AD と同期したいのですが、各クライアントには独自のローカル AD があります。

私の質問は、複数のクライアント AD (異なるドメイン内) を単一の Azure AD に同期し、Azure AD を使用して ASP.NET で検証する方法です。これはできますか?

4

2 に答える 2

2

Re: 「このシナリオのカーブボールは、ローカル AD を Azure AD と同期したいのですが、各クライアントには独自のローカル AD があります。」これが直接意味があるかどうかを知るには、AD について十分に知りませんが、全体的なシナリオ (異なる AD からのクライアントがオンプレミス AD で使用するのと同じ資格情報を使用してクラウドでクリーンに認証できるようにする Azure のマルチテナント アプリ) )を実現できます。

  1. 各オンプレミス AD を Azure Active Directory と同期させます。これは、各サイトが実装する必要がある AAD DirSync ツールを介して行われます。これにより、(少なくとも) 主要なディレクトリ プロパティが AAD に安全にコピーされ、クラウドで使用できるようになります (名前、電子メール、パスワード ハッシュ)。AAD インスタンスは各テナントに固有であることに注意してください。
  2. ASP.NET でマルチテナント アプリケーションをセットアップします。VS 用の最新のツールスタックがあれば、これを Visual Studio 内で簡単に実行できます。[ファイル 新規作成] > [ASP.NET アプリケーション] フローに、認証方法を変更するためのボタンがあるページがあります。組織とマルチテナントに変更します。これにより、AAD の設定が更新されます (その後、manage.windowsazure.com の下の Active Directory セクションのポータルで確認できます)。これは、少なくとも基本的な手順を示しているはずです。(アプリへの信頼の確立は特権操作であり、ポータルで調整できるため (運用エンドポイントの追加など)、Visual Studio 内からグローバル管理者としてアプリに関連付けられている AAD にログインする準備をしてください)。

このアプリケーションを実行すると、ホーム レルム ディスカバリー (HRD) という検出ステップが行われます。このステップでは、エンド ユーザーが電子メール (adam@foo.com) でログインし、AAD がこのユーザーのテナントを特定するために使用します。 (bar.com ではなく foo.com) から来ており、ログイン フローを完了します。

HTH。

于 2014-04-07T13:55:19.370 に答える
1

DirSync を使用して、複数のオンプレミス AD ドメインを 1 つの Azure AD に同期することはできません (また、おそらくどちらも望まないでしょう)。FIM はこれを可能にしますが、マルチテナント プラットフォームとしてではなく、単一の顧客が複数のドメイン/フォレストを持つ顧客向けに設計されています。

@codingoutloud が提案するように、マルチテナンシー認証オプションを使用します。Office365 の新しい SAML 認証オプションを調べてください (こちら: http://blogs.office.com/2014/03/06/announce-support-for-saml-2-0-federation-with-office-365/ )。AD を同期させたくないお客様には、SAML もサポートできるオンプレミス ADFS を実装してもらうことができます。

于 2014-04-07T20:30:30.263 に答える