私は現在Azure ACSとクレームベースのAuthとカスタムSTSを使用するオプションの組み合わせを理解しようとしていますが、私はゆっくりと(不幸にもごく少数の)情報ソースを経由しています。 これ以上の時間を費やす前に、自分の計画が可能かどうかを確認したいと思います。 私は従業員と顧客の両方がインターネットを介してアクセスしている複数の紺碧の役割(Web +労働者)を持っています。さらに従業員は、ローカルネットワーク内からこれらのロールおよびデスクトップアプリケーションにアクセスします。Azure ACS +カスタムSTS、ハイブリッドシナリオでは可能ですか?
ユーザーデータには2つのソースがあります。私たちの紺碧のアプリは、顧客と従業員に関するユーザーデータ、従業員からの私たちの(ローカル)広告を持っています。
私たちのローカルネットワーク経由でアクセスすると、デスクトップの両方のアプリケーションで自動的に認証される必要があります(Windows User Profile Contextのために自動的に認証されます)と晴れたアプリ(うまくいけばログインページなし)。 一方、Azureアプリにアクセスするときに顧客の資格情報を入力する必要がありますが、別の "資格情報ソース"の間で決める必要はありません。ユーザー名+パスワードフォームを取得するだけです。ローカルネットワークから言い換えれば は
- 従業員の訪問Azureのアプリ - >統合認証/ ADデータ
- 従業員の訪問インターネットからAzureのアプリで自動ログイン - >ユーザ名+パスワードフォーム
- 顧客訪問のAzureアプリインターネットから - >ユーザー名+パスワードフォーム
この質問を書いてますが、より多くの2が頭に浮かんだ:
1)それは、Auすることも可能ですソース/クッキー/ウィザードリに基づいてログインするか、「Credential-Source」を手動で選択する必要がありますか?
2)Azure ACSが、ユーザー名XのAzアカウントがAzure App User Yと同じであることを「知っている」場合は、どちらがログインするかが重要ですか?いずれのログインルートでも同じ申し立てデータにアクセスできますか?
従業員に関する部分は、私が必要とする正確に何であるべき(:
とACSのために、紺碧のアプリケーションに統合すると、ADFSのIDプロバイダーを追加する方法をどのようにガイドとサンプルがあります)。残念ながら、顧客とADFSとのバインディングを確立することはできません(一部の顧客はスタートアップやLinuxベースの企業です)、私の認証ニーズにFacebook&Coを頼りにしたくありません。ユーザーに自分のFacebookアカウントとGoogleアカウントで認証させることは価値があると思うが、私のようなアーキテクチャではそうではない。それに基づいてカスタムSTSを作成する以外に別のSTSが表示されることはありません – Pharao2k
カスタムSTSの構築は実行可能なオプションですが、最後の手段として保存することをお勧めします。それは複雑になる可能性があり、ユーザーアカウントのプロビジョニングを自分で管理する必要があるでしょう。 Google Appsで動作する小規模のショップや新興企業が多数見られました。この場合、特定のGoogleアプリドメインにスコープされたGoogle IDを信頼するようにACSを設定すると効果的です。また、ADFSでうまく動作するLinuxフェデレーションソリューションもあります。たとえば、PingFederateは一般的なものの1つですが、設定するパートナー組織の責任です。 –