问题标签 [azure-acs]

我们正在使用 Durandal 构建一个 SPA 应用程序，并且我们正在通过 Windows Azure 中的 Windows ACS 对用户进行身份验证。

我们目前对长时间打开应用程序的用户存在问题。当他们回来时，ACS 令牌已过期，应用程序不会重定向到 ACS 登录（因为它是 SPA 应用程序）。

当 Windows ACS 会话超时时，是否有一种在客户端进行检测的好方法？

我正在自定义ACS 主领域发现页面，并希望容纳拥有“微软帐户”（又名 LiveID/Passport）或 Office365/Azure Active Directory 帐户的用户。

在这种情况下，可能会发生以下工作流程（据我了解）

1. 用户使用 ACS 自定义页面登录
2. 用户选择“Microsoft 帐户”
3. 用户输入其公司/公司 ID
4. http://portal.microsoftonline.com上的 HRD 进程将他们重定向到他们的 ADFS 服务器
5. 他们的 ADFS 服务器将他们重定向到他们的公司。

一旦登录通过（或失败），登录将级联回 ACS 页面。

将 Azure ACS 与 Azure Active Directory / Office 365 与我创建的自定义 HRD 页面集成的最有效方法是什么（对于最终用户）？

或者更清楚地说，是否有一个 JSON Web 服务，我可以查询以确定给定域或帐户是否存在于“Microsoft 帐户/LiveID”世界中，并检查 AzureAD 是否有相同的东西。

我有一个 Web api，我想使用 ACS 保护它，但我只想使用 ACS 进行授权。我想要的流程是：

1. 应用程序将用户重定向以通过 Facebook 进行身份验证，并且应用程序接收 Facebook 令牌。
2. 应用程序使用 Facebook 令牌向 ACS 发送请求并接收新令牌，他可以使用该令牌访问 API。
3. 用户调用 API 并将从 ACS 接收的令牌作为 API 的身份验证/授权传递。

这种流量可以吗？如何在 ACS 端和 API 端进行设置？我已经在应用程序中进行了 Facebook 身份验证。我想利用我已经获得的令牌来调用 API。

我是 ADFS 的新手。我们出于安全目的使用 ADFS 令牌。但是我们的应用程序是单页应用程序，我们不会多次访问服务器，我们主要是在客户端缓存数据。因此，在页面上工作时，用户会在一段时间后面临过期的 ADFS 令牌。这是因为用户长时间没有刷新页面。ADFS 中有没有办法定期调用 ADFS 中的 ADFS API 并刷新 html 页面中的令牌？

我需要为以下场景设置哪些权限：

我想使用 Azure 服务总线，以便能够连接在本地运行的 Windows 服务代理和在 azure 中运行的辅助角色。代理本身是一个软件，它将在不同的客户场所运行并通过服务总线与我的工作人员角色进行通信。工作人员角色每天一次将向本地特定（可能是全部，可能只有少数）客户代理发送消息，要求提供一些数据。代理将通过服务总线将数据返回给工作角色。为了向特定的客户代理发送自定义消息，我将使用主题和订阅，每个客户代理都会减少到它的特定订阅。

现在，为了构建该代理并访问服务总线，我必须使用namesapece, issuer name，issuer key默认情况下它是owner. 好吧，所有者可以完全控制该服务总线上的任何地方，因此我不想提供owner凭据和secret key每个客户代理服务。这意味着我必须为每个客户建立自定义身份，或者为所有人建立一个共同的身份。

我的问题：你有什么建议：

• 为所有代理提供一个通用服务身份，还是为每个代理服务生成一个身份？
• 我应该给他们的最低访问权限是多少？我猜Listen对Send了？

谁能指导我使用 Spring SAML 和 Azure ACS 保护我的 Spring Restful Web 服务？我已经使用 ADFS 确保了相同的安全性，并且工作正常。

我们希望使用基于声明的身份验证创建一个 MVC Web 应用程序，期望角色作为声明之一。我们希望使用 Azure 访问控制服务联合身份验证提供程序来管理此联合。身份验证提供程序之一是我们的 Azure AD。

问题是 Azure AD 似乎无法生成角色（甚至是组）声明。在 Azure AD 中管理组或角色访问并让 Azure 访问控制服务提供角色声明的适当方法是什么。

谢谢。

编辑：

先前的评论要求提供详细信息：我们希望使用他们的活动目录向第三方提供对我们云应用程序的访问（以简化他们的用户管理）。我们的应用程序对第​​三方可以配置的信息有几个级别的访问权限。我们希望他们可以在他们的广告中做到这一点（根据我们的指示）。小组似乎是显而易见的选择，但如果有另一种可行的方式，只要我们能提供指导，它就会奏效。

我们希望我们的应用程序能够获得用户访问级别的声明。如果我们只有一个使用 Azure AD 的合作伙伴，我们可以针对该端点使用图形 API，但是随着多个合作伙伴随着时间的推移而变化，我们希望联合它们，因此我们的应用程序只需要信任联合服务器。我们假设我们需要 Azure ACS 来管理联合。

我有需要 Azure AD 不记名身份验证的 API。

那么是否可以查询 Azure AD（可能使用 Graph API）来确定调用用户的组信息？此处的最终目标是将基于角色的安全性应用于 API 方法/控制器，如下所示（或类似）。

此外，身份信息如何以及在何处应用于执行线程？

我们希望开发一个可供多个组织的用户使用的移动应用程序。这些组织中的每一个都将拥有一个属于他们的 Azure Active Directory 租户。我们希望使用 Azure 移动服务对用户进行身份验证。

一旦用户通过身份验证并且移动应用程序拥有 JWT 令牌，它将随后被发送到我们的 API 网关以访问各种服务。

是否可以以应用可以针对多个 Active Directory 租户进行身份验证的方式使用 Azure 移动服务标识组件？换句话说，我们是否可以创建一个多租户移动应用程序，该应用程序可以针对不同组织拥有的多个 Azure Active Directory 租户进行身份验证？

Azure Active Directory 确实支持多租户 Web 应用程序的开发，并且有可用的示例应用程序演示了此功能。但是，是否可以在使用 Azure 移动服务的移动应用程序中实现相同的功能？

我做了一些“谷歌搜索”来找出 SAS 和 ACS Azure 授权策略之间的巨大差异，但我找不到真正让我信服的东西。有人可以指出我何时使用一种或另一种的最佳场景以及两者之间的区别吗？非常感谢。