In che modo il flusso di autenticazione con Azure Active Directory differisce da Azure ACS?

2

Capisco che Azure ACS ha funzionato come STS che ha la capacità di reindirizzare gli utenti a un determinato STS (OpenID, LiveID, Facebook) o autenticarsi utilizzando un account utente / password locale.

In una situazione passiva ACS utilizza reindirizzamenti e risponde con un token SAML e può essere un utente STS che tiene gli account utente o una risorsa che protegge i siti Web ma lascia l'autenticazione dell'utente per un altro host.

Ora ACS si sta deprezzando a favore di Azure Active Directory, Vorrei sapere quali sono le differenze fondamentali su come funziona Azure AD sul filo.

Domanda

  • Quali sono alcuni esempi di modelli di richiesta-risposta che verrebbero visualizzati quando si utilizza Azure Active Directory in un approccio attivo o passivo?

  • Poiché Azure consente l'integrazione di AD in sede, come viene realizzata la scoperta dell'home real con un UPN

  • arbitrario
posta random65537 15.08.2013 - 23:54
fonte

1 risposta

1

L'HRD viene eseguito attraverso due meccanismi diversi, che sono usati in contesti passivi o attivi. Il metodo passivo determinerà il dominio in base al nome utente dopo aver perso il focus del campo del nome utente. Viene effettuata una ricerca del nome utente e determina a quale tenant è legato il nome utente. Se il titolare richiede un'autorizzazione federata, il sito reindirizzerà al nuovo IdP. Il metodo attivo determina il dominio in base al nome utente in entrata e, se è richiesta la federazione, viene restituito un puntatore per utilizzare l'endpoint di IdP.

Se l'HRD è necessario dipende dal metodo di autenticazione legato al dominio dell'utente. HRD è richiesto per i domini il cui AuthenticationMethod è contrassegnato come Federato.

Il processo di base funziona così:

  1. Ottieni il suffisso UPN
  2. Cerca il suffisso nell'elenco dei domini
  3. Se il dominio è presente, vedi AuthenticationMethod
  4. Se metodo == Gestito, non reindirizzare
  5. Se contesto == passivo ottieni PassiveLogOnUri
  6. Se il protocollo preferito == WS-Fed reindirizza a PassiveLogOnUri e imposta wtrealm = urn: federation: MicrosoftOnline
  7. Se il protocollo preferito == SAML reindirizza a PassiveLogOnUri con SAMLRequest
  8. Se contesto == attivo ottieni GetActiveLogOnUri e ritorna al chiamante

È possibile osservare questi valori utilizzando i cmdlet MSOL PowerShell e chiamando Get-MsolDomainFederationSettings, Get-MsolDomain, ecc. Vedere qui (divulgazione - Ho scritto il post): link

Non sono sicuro di cosa intendi con gli schemi richiesta-risposta. In uno scenario che richiede HRD, funziona fondamentalmente come

RST-> IdP (AAD) -> RST-IP (ADFS) -> RSTR -> IdP (AAD) -> RSTR

    
risposta data 16.08.2013 - 02:10
fonte