我们希望将 Azure Active Directory 用作面向外部的应用程序的用户存储。目前,我们的 MVC/C# 4.5 应用程序(使用 WIF)正在通过被动联合对本地 ADFS 2.0 代理/服务器进行身份验证,我们希望将其“移植”到 Azure。我们这样做的方式是,我们让 ACS 位于 AAD 和我们的应用程序之间,这样 ACS 正在取代 ADFS,而 AAD 正在取代 Active Directory(本地)。
从技术角度来看,我们有这个工作。但是,我们有一个主要问题是用户不仅必须使用他们的用户名登录,还必须使用域名登录。强迫我们的用户使用虚构的电子邮件地址作为用户名是不合理的(而且只是破坏交易)。
有没有什么方法可以让用户不需要输入域名?在我们的例子中,ACS 后面只有一个识别方:一个 AAD 目录。所以我们总是提前知道域名应该是什么。
提前致谢!
您是否希望用户仅使用他们的用户名(例如“mcollier”)而不是他们的完整帐户名(例如“mcollier@mytenant.onmicrosoft.com”)对 Windows Azure AD 进行身份验证?如果是这样,我认为目前这是不可能的。
如果我理解正确,该应用程序使用 ACS 作为 Windows Azure AD 的联合提供程序。只有 Windows Azure AD,对吗?如果只使用一个身份提供者,ACS 在这种情况下提供什么好处?
目标是在 Windows Azure AD 中拥有与本地 Windows Server AD 相同的用户吗?如果是这样,利用启用了密码哈希同步的新 DirSync 应该可以解决问题。
我可以建议一种解决方法。您可以显示一个屏幕,让他们只输入用户名。获得用户名后,您可以在授权 url 中发送带有 login_hint 参数的 username@mytenant.onmicrosoft.com。它将填写用户名,因此他们只会输入用户名而不输入电子邮件部分。