Conecte o Azure Active Directory ao AD do cliente no local

1

Temos um aplicativo da Web em execução no Windows Azure no qual vários clientes podem fazer login. Ultimamente, mais e mais deles solicitam algum tipo de solução de logon único ou pelo menos uma sincronização de seus usuários locais / de domínio com os presentes em nossa aplicação. Eu olhei para várias opções, mas não encontrei realmente uma que pareça viável para mim. Abaixo listamos o que eu tenho visto, mas basicamente eu gostaria de alguns conselhos sobre como abordar esse problema.

Existem serviços de terceiros que podem ser capazes de fazer isso, mas geralmente eles exigem muito ou muito trabalho para nós e nossos clientes implementarem. Isso também poderia significar que teríamos que implementar várias ou muitas dessas soluções, dependendo da preferência do cliente.

A maioria, se não todos os nossos clientes, terão um Active Directory no local e seria perfeito se pudéssemos usá-lo de alguma forma com nosso aplicativo também. Conectar nosso aplicativo da web a um AD local não é realmente uma opção porque os administradores do sistema (compreensivelmente) não nos dão acesso a ele.

Também podemos configurar um AD no Azure. Então, pensei que talvez pudéssemos sincronizar do AD no local para o nosso AD no Azure e, em seguida, levá-lo de lá. No entanto, ao testar a ferramenta Microsoft Azure Active Directory Connect, ele me pediu um login de administrador para o ambiente do Azure. Obviamente, não queremos dar aos nossos clientes acesso ao nosso portal do Azure, então parece que isso também não funcionará.

Outro problema em tudo isso é que eu sou um programador e todo o material AD está um pouco fora da minha zona de conforto e eu posso estar procurando nos lugares errados.

Alguém tem alguma experiência com isso e pode me apontar na direção certa?

    
por Alex 07.10.2015 / 11:06

2 respostas

1

ADConnect é a maneira de sincronizar o diretório local com sua nuvem. Ele solicita uma senha de nome de usuário para configurar a sincronização inicial e fazer alterações na sincronização, se você estiver efetuando login novamente com a ferramenta. Você também precisa de uma conta DA para um administrador local enquanto o configura. Se você não tiver uma ou nenhuma das duas contas, não poderá concluir a configuração.

Indo pelo que você está sugerindo, o B2C do Azure é o que você deseja configurar. Senão, configure a federação do ADFS entre seus domínios e os domínios do cliente para que você não tenha que se preocupar em pedir qualquer nome de usuário / senhas. Estou supondo que seus aplicativos sejam compatíveis com declarações e você tenha seu próprio Windows AD para permitir que o ADFS seja configurado.

Se você estiver tentando configurar um ambiente de teste do ADFS, eu segui o blog de 4 partes para criar meu primeiro laboratório - esperamos que ele funcione bem para você também.

link link

    
por 22.10.2015 / 14:36
1

Se você configurar o aplicativo para oferecer suporte à autenticação SAML, o cliente poderá configurar seu ADFS (ou outro) para funcionar com o AD. Normalmente, é assim que isso é feito para o SSO para aplicativos de terceiros.

A maneira como isso funciona é que você ainda gerencia identidades e acessa o aplicativo, mas os clientes podem pegá-lo e vinculá-lo à sua própria "reivindicação", que pode conter nomes de usuário do AD. Isso é o que o ADFS, bem como outras plataformas de identidade de federação, fazem (a parte da federação). Você precisa fornecer uma maneira de criar a confiança, no entanto, entre provedores de identidade (seus e deles).

Você pode criar um provedor de identidade personalizado, usar um serviço de terceiros ou implantar um servidor de federação como o ADFS. Mas há outros também (comerciais e de código aberto) como PingFederate e Shibboleth. Existem literalmente centenas de opções lá. Se você quiser um SDK - Ping Identity (desenvolvedores PingFederate), ofereça um para múltiplos idiomas (Java, C #, etc). Tenho certeza de que existem SDK de código aberto disponíveis para ajudar com isso.

A identidade é um tópico complexo - quanto mais você puder transferir isso para uma empresa ou equipe dedicada, melhor será (o B2C do Azure está em pré-visualização, como afirmado em outras respostas, mas veja se você está querendo ir mais rápido )

    
por 22.10.2015 / 16:47