問題タブ [azure-acs]

Durandal を使用して SPA アプリケーションを構築しており、Windows Azure で Windows ACS を介してユーザーを認証しています。

現在、アプリケーションを長時間開いたままにしているユーザーに問題があります。それらが戻ってくると、ACS トークンは期限切れになり、アプリケーションは ACS ログインにリダイレクトされません (これは SPA アプリケーションであるため)。

Windows ACS セッションのタイムアウトをクライアント側で検出する良い方法はありますか?

ACS ホーム レルム検出ページをカスタマイズしており、"microsoft アカウント" (別名 LiveID/Passport) または Office365/Azure Active Directory アカウントを持つユーザーに対応したいと考えています。

この状況では、次のワークフローが発生する可能性があります (私が理解している限り)。

1. ユーザは ACS カスタム ページを使用してログインします
2. ユーザーは「Microsoft アカウント」を選択します
3. 会社/企業 ID のユーザー タイプ
4. http://portal.microsoftonline.comの HRD プロセスは、ユーザーを ADFS サーバーにリダイレクトします。
5. ADFS サーバーは、ユーザーを会社にリダイレクトします。

サインインが成功 (または失敗) すると、ログインは ACS ページにカスケードされます。

Azure ACS を Azure Active Directory/Office 365 と、私が作成したカスタム HRD ページと統合する (エンド ユーザーにとって) 最も効率的な方法は何ですか?

または、より明確に言えば、特定のドメインまたはアカウントが「Microsoft アカウント/LiveID」の世界に存在するかどうかを判断し、AzureAD で同じことを確認するためにクエリを実行できる JSON Web サービスはありますか。

ACS を使用して保護したい Web API がありますが、認可のみに ACS を使用したいと考えています。私が望む流れは次のとおりです。

1. ユーザーはアプリによってリダイレクトされ、Facebook で認証され、アプリは Facebook トークンを受け取ります。
2. アプリは Facebook トークンを使用して ACS に要求を送信し、API へのアクセスに使用できる新しいトークンを受け取ります。
3. ユーザは API を呼び出し、ACS から受け取ったトークンを API の認証/認可として渡します。

この流れは可能ですか？ACS 側と API 側でこれを設定するにはどうすればよいですか? アプリで Facebook 認証が機能しています。API を呼び出すために、既に取得しているトークンを活用したいと考えています。

次のシナリオで設定する必要があるアクセス許可は次のとおりです。

オンプレミスで実行されている Windows サービス エージェントと Azure で実行されているワーカー ロールを接続できるようにするために、Azure サービス バスを使用したいと考えています。エージェント自体は、さまざまな顧客施設で実行され、サービス バスを介してワーカー ロールと通信するソフトウェアです。worker ロールは 1 日 1 回、オンプレミスの特定の (場合によってはすべて、場合によっては少数のみ) 顧客エージェントにメッセージを送信し、データを要求します。エージェントは、サービス バス経由でワーカー ロールにデータを返します。カスタム メッセージを特定のカスタマー エージェントに送信するために、トピックとサブスクリプションを使用します。すべてのカスタマー エージェントは、特定のサブスクリプションに限定されます。

エージェントを構築してサービス バスにアクセスするには、 を使用する必要がありnamesapeceますissuer name。issuer keyデフォルトではowner. owner所有者はそのサービスバスのどこでも完全に制御できるため、資格情報secret keyを各顧客エージェントサービスに提供したくありません。つまり、顧客ごとにカスタム ID を作成するか、すべての顧客に共通の ID を作成する必要があります。

私の質問：あなたは何をお勧めしますか：

• すべてのエージェントに対して 1 つの共通サービス ID を生成するか、エージェント サービスごとに 1 つの ID を生成しますか?
• 彼らに与えるべき最低限のアクセスは何ですか? 私は推測ListenしますよねSend？

Azure AD ベアラー認証を必要とする API があります。

その後、おそらく Graph API を使用して Azure AD にクエリを実行し、呼び出し元のユーザーのグループ情報を特定することはできますか? ここでの最終目標は、以下の (または類似の) API メソッド/コントローラーにロールベースのセキュリティを適用することです。

さらに、ID 情報は実行中のスレッドにどのように適用されますか?

複数の組織のユーザーが使用するモバイル アプリケーションを開発したいと考えています。これらの各組織には、所有する Azure Active Directory テナントがあります。ユーザーの認証に Azure Mobile Services を使用したいと考えています。

ユーザーが認証され、モバイル アプリが JWT トークンを取得すると、その後 API ゲートウェイに送信され、さまざまなサービスにアクセスします。

アプリが複数の Active Directory テナントに対して認証できるように、Azure モバイル サービスの ID コンポーネントを使用することはできますか? つまり、異なる組織が所有する複数の Azure Active Directory テナントに対して認証できるマルチテナント モバイル アプリを作成できるでしょうか?

Azure Active Directory はマルチテナント Web アプリの開発をサポートしており、この機能を示すサンプル アプリケーションが利用可能です。しかし、Azure モバイル サービスを使用してモバイル アプリで同じ機能を実現することは可能ですか?

SAS と ACS Azure Authorization 戦略の大きな違いを理解するために「グーグル」を実行しましたが、本当に納得できるものを見つけることができませんでした。どちらかをいつ使用するのが最適か、またその違いを教えてください。どうもありがとう。