目前,我们公司有一个内部网络应用程序(使用asp.net构建),使用Windows身份验证验证用户对内部活动目录,以便能够访问该应用程序。我们正在考虑将应用程序移到azure并将我们的活动目录扩展到azure中。
如果用户在远程工作而不是在办公室工作时,如果用户试图访问网络应用程序,我们就会发现它是如何工作的。目前,用户将在远程进入本地域时通过juniper SSL客户端登录。一旦他们这样做,他们就可以访问内部网Web应用程序,因为他们现在在域上并且可以通过AD进行验证。
如果我们将我们的网络应用程序放到azure中,这将如何工作?它们是否提供了用户可以登录的前端(类似于juniper),然后将根据蔚蓝广告验证它们,然后才能根据Windows身份验证访问Web应用程序?
注意:如果可能的话,我们的目标是DR解决方案,如果办公室无法访问,我们希望在进入azure并进入Web应用程序之前,先绕过需要使用juniper进入域名。
答案 0 :(得分:2)
您希望将本地Windows Active Directory用作Windows Azure的身份提供程序,我认为您正在寻找SSO解决方案,可以使用访问控制服务或Windows Azure Active Directory进行存档。
关于这两项服务,请阅读:Azure Active Directory is the future of ACS。
此blog提供了有关如何使用ACS的视频。
这篇文章:Windows Azure ACS with Active Directory as identity provider for SSO,也应该有帮助。
答案 1 :(得分:2)
对基于浏览器的应用程序实现Active Directory身份验证的最简单方法是使用Active Directory联合身份验证服务(ADFS)。应用程序使用WS-Federation被动身份验证协议将身份验证委派给ADFS公开的网站。
这完全取代了Windows集成身份验证(我假设您正在使用它)并将您的应用程序切换到不再熟悉Active Directory或域的基于声明的系统。
此解决方案要求您的ADFS网站可以公开展示,以便网络外的用户可以访问它。有大量文章可用于配置各种不同级别的安全ADFS,但这更多的是网络和基础架构问题,而不是编程问题。
如果这不合适,您可以配置Windows Azure Active Directory实例以提供与ADFS相同的功能。您必须在内部部署的Active Directory林和Azure实例之间设置同步,这需要将部分Active Directory基础结构公开给Windows Azure。
在任何一种情况下,您都必须切换到使用WS-Federation和基于声明的标识来删除对Windows集成身份验证的依赖。
答案 2 :(得分:2)
您真正想要做的是启动Visual Studio 2013并尝试多组织Web应用程序模板,看看这不是您正在寻找的。然后将当前的应用程序迁移到该文件。
它为您提供了一个3方公司可以注册您的应用程序的地方(他们的WAAD管理员可以这样做),它将被添加到他们的WAAD。
然后,当组织注册时,其组织的用户可以登录您的应用。
如果你正在使用Owin,我只是制作了一个使用alpha owin包显示这个的owin样本(这还没有生产就绪)。但是用于多组织登录的VS模板是一个很好的起点,它完全符合您的要求。