我正在开发一个 Multi-Tenancy ASP.NET MVC 应用程序,并希望使用 Azure AD 进行身份验证。外部用户也可以访问此应用程序。我在 MSDN 上阅读了有关组织外部用户如何使用 Azure AD 访问应用程序的信息。
我的问题是,如果不将 Azure AD 与本地 Windows Server AD 集成,是否可以在 Azure AD 中创建/维护所有用户(内部 AD(本地)用户 + 外部用户)而不使用本地 AD ?这是因为只有少数内部用户会使用此应用程序,但外部用户也会访问。
最佳答案
如果您希望本地用户拥有 SSO 体验和/或能够在云中使用与本地用户相同的凭据,那么您必须将 Azure AD 租户与本地用户集成。场所服务器事件目录。为此,您有两种选择。
Directory Sync with Password Sync 。这将在 Azure AD 中存储本地用户密码的哈希值。用户仍然会面临对云应用程序进行身份验证的挑战,但至少他们能够使用相同的本地凭据。
Directory Sync with Single Sign-On 。这需要在本地设置 ADFS,但可以为用户提供完整的 SSO 体验。如果用户已经在本地进行了身份验证,那么他/她在访问您的云应用程序时就不会受到凭据挑战。
展望 future ,请密切关注新的 AAD 同步工具。它最终将通过一些附加功能取代 DirSync。有几个关于它的博客 here和 here .
回到您的问题,您可以仅在 Azure AD 中创建和管理用户。既然您说您只有“少数”本地用户,也许这更符合您的喜好。请注意,如果您这样做,您的本地用户将拥有不同的本地和云登录凭据。但是,选项#1(上面)非常易于设置和使用,也是我推荐的,以便您的少数本地用户拥有良好的体验,并且您不必在 Azure AD 中单独维护它们。如果本地用户的数量增加,那么您已经有一些东西可以支持他们,而无需您做任何额外的工作。
关于asp.net-mvc - 使用 Azure AD 对内部和外部用户进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25051239/