問題タブ [azure-active-directory]

Thinktecture Identity Server (IdSrv) を R-STS と IP-STS の両方として使用し、O365 / WAAD テントを追加の IP-STS として使用するシナリオがあります。ユーザーは、IdSrv の Home Realm Discovery 機能を使用して、使用する ID プロバイダーを選択します。

現在、統合された WS-Federation wsignout を RP から実装するのは困難です。なぜなら、サインアウト プロセスを WAAD に対して適切に機能させることができないためです (Thinktecture IP-STS に対しては正常に機能します)。

申し訳ありませんが、サインアウトできません。不正なサインアウト リクエストを受け取りました。サインアウトする場合は、次のリンクをクリックしてください。

ACS20028: 要求されたリダイレクト URL は無効です。

wreply URL パラメータは、WAAD インスタンスが認識していない RP を指しています。

サインアウト リンクをたどろうとすると、申し訳ありませんが、サインアウトできません。不適切なリクエストを受け取りました。

ACS20026: wtrealm パラメータが欠落しているか正しくありません。

wreply が IdSrv (実際には WAAD の RP) を指すように URL を直接変更しようとしましたが、うまくいきません。

誰かがこれを機能させましたか？

Windows Service Bus で NetTcpRelayBinding を使用する予定ですが、制御していないディレクトリからユーザーを追加する機能が必要です。

Windows Server の ServiceBus ドキュメントを見ましたが、ACS のフェデレーション機能で共有アクセス署名を使用できるかどうか、または Windows 資格情報を使用してこれを実現するために Active Directory フェデレーション サービスを使用できるかどうかがわかりません。

Azure Active Directory を調べたところ、AAD と ServiceBus for Windows Server でできることはないようです (間違っていたら訂正してください)。

質問

主に NetTcpRelayBinding を使用している場合、許可されたユーザーをローカル Windows Service Bus に追加/削除するにはどうすればよいですか? (キューやトピックではありません)

Windows Azure Active Directory で最初のアプリケーションを構成しましたが、すべて正常に動作しています。ディレクトリ内のアカウントを使用してログインできます。

ただし、すべての概念、特にサインオン URL についてはまだ完全に明確ではありません。ツールチップには次のように記載されています。

ユーザーがサインインしてアプリを使用できる URL。これは後で変更できます。

しかし、ユーザーはどこかでサインインしlogin.windows.net、さらに、ここに何を入力しても認証は機能し続けます。では、この「サインオン URL」とは何ですか?

ACS ホーム レルム検出ページをカスタマイズしており、"microsoft アカウント" (別名 LiveID/Passport) または Office365/Azure Active Directory アカウントを持つユーザーに対応したいと考えています。

この状況では、次のワークフローが発生する可能性があります (私が理解している限り)。

1. ユーザは ACS カスタム ページを使用してログインします
2. ユーザーは「Microsoft アカウント」を選択します
3. 会社/企業 ID のユーザー タイプ
4. http://portal.microsoftonline.comの HRD プロセスは、ユーザーを ADFS サーバーにリダイレクトします。
5. ADFS サーバーは、ユーザーを会社にリダイレクトします。

サインインが成功 (または失敗) すると、ログインは ACS ページにカスケードされます。

Azure ACS を Azure Active Directory/Office 365 と、私が作成したカスタム HRD ページと統合する (エンド ユーザーにとって) 最も効率的な方法は何ですか?

または、より明確に言えば、特定のドメインまたはアカウントが「Microsoft アカウント/LiveID」の世界に存在するかどうかを判断し、AzureAD で同じことを確認するためにクエリを実行できる JSON Web サービスはありますか。

ユーザー固有のクレーム データを Azure Active Directory に保存して、MVC Web アプリケーション内でクレーム ベースの承認を実行したいと考えています。

定義する Active Directory 要求の種類:

リソース要求の種類

アクション クレーム タイプ

ResourceAction 複合クレーム タイプ

これらのために保存したいクレームタイプの値は次のとおりです。

リソース - ControllerName

アクション - ControllerActionName

ResourceAction - Resource 値と Action 値の組み合わせ (できれば複合型として)

User/Group/Role AD オブジェクトに ResourceAction 値を保存したいと考えています。

これと関連するリソースの解決策と例を教えてください。

リクエストごとにデータベースにアクセスすることになり、柔軟性がないため、認証固有のデータをデータベースに保存することは避けたいと考えています。

どうもありがとう、

Windows Phone (その後 Xamarin iOS および Android) を Azure AD に対して認証しようとしています (3 日以降、10 回以上の試行) が、どういうわけかうまくいきません。ここで言及されている記事をフォローしています: http://www.cloudidentity.com/blog/2013/04/29/fun-with-windows-azure-ad-calling-rest-services-from-a-windows-phone -8-app/ 次の手順を実行しました。

1. 組織アカウントを使用して ASP.NET MVC5 Web サイトを作成しました (アプリは AD に AppA として登録されます)
2. Hello World 文字列を返す Web API を追加しました
3. プロジェクトをビルドし、機能しているかどうかをテストします。私はHello Worldを取得します
4. 次に、Azure Web サイトを作成し、公開プロファイルをダウンロードします
5. 組織アカウントで既存の ASP.NET MVC サイトを公開します。VS は資格情報を要求し、Azure AD で別のアプリを作成します (AppB)
6. サイトと Web API は正常に動作します
7. Azure AD でネイティブ アプリ (AppC) を作成し、(AppB から) Web API へのアクセスを許可します
8. Windows Phone アプリケーションを作成し、(AppC) からのリターン URL とクライアント ID を提供します。
9. このネイティブ アプリのリソース URI を AppB から追加します
10. 上記URLのコードをそのまま打ち込みます。
11. ここで、プロジェクトを実行すると、以下の詳細が得られます。

Web API を呼び出すと、ログイン ページにリダイレクトされますが、エラーは表示されません。Postman と Fiddler を試しました。