问题标签 [azure-active-directory]

我有一个场景，我们使用 Thinktecture Identity Server (IdSrv) 作为 R-STS 和 IP-STS，以及 O365 / WAAD tentant 作为额外的 IP-STS。用户通过 IdSrv 中的 Home Realm Discovery 功能选择要使用的身份提供者。

现在，从 RP 实现统一的 WS-Federation wsignout 是很困难的，因为我无法让注销过程针对 WAAD 正常工作（针对 Thinktecture IP-STS，它工作正常）；

抱歉，我们无法让您退出。我们收到了错误的退出请求。如果您想退出，请点击以下链接。

ACS20028：请求的重定向 URL 无效。

好吧，wreply URL 参数指向 RP，WAAD 实例并不知道。

如果我尝试点击退出链接，我很抱歉，但我们无法让您退出。我们收到了一个错误的请求。

ACS20026： wtrealm 参数丢失或不正确。

我尝试直接修改 URL，使其 wreply 指向 IdSrv（它实际上是 WAAD 的 RP），但我无法让它工作。

有没有人让这个工作？

我正在学习 Azure、AAD、WS-Federation、声明等，并想用 C#（不使用 ASP.NET）编写一个简单的 Web 服务器，需要使用 AAD 进行用户身份验证，只是为了了解事情是如何工作的。但是我什至找不到一个如何做到这一点的例子！

我尝试阅读有关 WIF 的信息，但一切都可以追溯到拥有 ASP.NET 服务器。

我打算将 NetTcpRelayBinding 与 Windows 服务总线一起使用，但我需要能够从我无法控制的目录中添加用户。

我查看了 Windows Server 的 ServiceBus 文档，但我不确定是否可以将共享访问签名与 ACS 的联合功能一起使用，或者是否可以使用 Active Directory 联合服务来使用 Windows 凭据来完成此操作。

我查看了 Azure Active Directory，看来我对 Windows Server 的 AAD 和 ServiceBus 无能为力（如果我错了，请纠正我）

问题

当授权用户主要使用 NetTcpRelayBinding 时，如何将授权用户添加/删除到本地 Windows 服务总线？（不是队列或主题）

I have configured my first application in Windows Azure Active Directory and everything works fine: I can login using accounts in my directory.

However, I'm not entirely clear on all the concepts yet, especially the sign-on url. The tooltip says:

The URL where users can sign in and use your app. You can change this later.

But users sign in somewhere on login.windows.net and furthermore, it doesn't matter what I enter here, authentication keeps working. So what is this 'sign-on url'?

我正在自定义ACS 主领域发现页面，并希望容纳拥有“微软帐户”（又名 LiveID/Passport）或 Office365/Azure Active Directory 帐户的用户。

在这种情况下，可能会发生以下工作流程（据我了解）

1. 用户使用 ACS 自定义页面登录
2. 用户选择“Microsoft 帐户”
3. 用户输入其公司/公司 ID
4. http://portal.microsoftonline.com上的 HRD 进程将他们重定向到他们的 ADFS 服务器
5. 他们的 ADFS 服务器将他们重定向到他们的公司。

一旦登录通过（或失败），登录将级联回 ACS 页面。

将 Azure ACS 与 Azure Active Directory / Office 365 与我创建的自定义 HRD 页面集成的最有效方法是什么（对于最终用户）？

或者更清楚地说，是否有一个 JSON Web 服务，我可以查询以确定给定域或帐户是否存在于“Microsoft 帐户/LiveID”世界中，并检查 AzureAD 是否有相同的东西。

我想将用户特定的声明数据存储在 Azure Active Directory 中，以便在 MVC Web 应用程序中执行基于声明的授权。

要定义的 Active Directory 声明类型：

资源声明类型

行动索赔类型

ResourceAction 复杂声明类型

我要为这些存储的声明类型值是：

资源 - 控制器名称

动作 - ControllerActionName

ResourceAction - Resource 和 Action 值的组合（希望是复杂类型）

我想将 ResourceAction 值存储在 User/Group/Role AD 对象中。

有人可以通过示例帮助我解决此问题以及相关资源的解决方案。

我想避免将授权特定数据存储在数据库中，因为我会为每个请求访问数据库并且不灵活。

非常感谢，

我有一个应用程序，我想向尽可能多的用户公开。为此，我按照此处说明的说明 将我的应用程序连接到 Azure Active Directory，并按照这些说明的变体将AAD 连接到 Azure ACS 2.0。

Azure ACS 2.0 将处理所有联合域和 Microsoft 帐户（以前的 LiveID 或 Passport）。它还将处理 Facebook、Twitter 和其他 OAuth 服务。

Azure Active Directory 将处理 Office 365，以及将其公司 Active Directory 同步到云的任何人。

我的主领域发现页面将在以下 URL 发出 GET 以确定是否应使用 LiveID 或 AzureAD 域。

或 http://odc.officeapps.live.com/odc/emailhrd/getidp?hm=0&emailAddress=USER%COMPANY.com

如果用户不存在，我将使用 Azure ACS 与该公司的联合。缺少它，用户将无法登录。

现在我解释了我的配置，我打算让 Windows Identity Foundation (WIF) 允许来自 ACS 2.0 和 ADFS 的身份验证。

问题

• 如何获得 WIF 4.5，特别是 ValidatingIssuerNameRegistry 以正确处理对多个 IDP 的多个信任？

下面是 VS2013 在将应用程序与 Azure Active Directory 联合时附带的代码。它响应所有联合请求并执行我不理解的其他事情。有关此类的任何链接或信息都会有所帮助

除了 Azure 门户，还有其他工具可以管理 Windows Azure Active Directory 中的用户吗？

我正在尝试（自 3 天以来，超过 10 次尝试）让我的 Windows Phone（之后是 Xamarin iOS 和 Android）针对 Azure AD 进行身份验证，但不知何故它对我不起作用。我正在关注此处提到的文章：http: //www.cloudidentity.com/blog/2013/04/29/fun-with-windows-azure-ad-calling-rest-services-from-a-windows-phone -8-app/ 我做了以下步骤：

1. 使用组织帐户创建 ASP.NET MVC5 网站（应用程序在我的 AD 中注册为 AppA）
2. 我添加了一个返回 Hello World 字符串的 Web API
3. 我构建项目并测试是否正常工作。我确实得到了 Hello World
4. 然后我创建 Azure 网站并下载发布配置文件
5. 使用 org 帐户发布现有的 ASP.NET MVC 站点。VS 要求提供凭据并在 Azure AD (AppB) 中创建另一个应用程序
6. 该站点和 Web API 工作正常
7. 我在 Azure AD 中创建本机应用程序 (AppC) 并授予对 Web API 的访问权限（来自 AppB）
8. 我创建 Windows Phone 应用程序并从 (AppC) 提供返回 URL 和客户端 ID
9. 我从 AppB 为这个本机应用程序添加资源 URI
10. 我从上面的 URL 输入代码。
11. 现在，如果我运行该项目，我会得到以下详细信息：

现在，如果我调用 Web API，我会被重定向到登录页面，但看不到任何错误。我试过邮递员和提琴手。

我正在开发一个 WP8 应用程序，它需要身份验证才能获取令牌来调用 Web api 后端。我不想创建自己的帐户管理机制，因为在我们这个时代实现我自己的帐户存储库似乎很愚蠢。

无论如何我都在使用 Azure，所以我想利用它来进行用户管理和身份验证/授权。有什么地方比 Active Directory 更适合管理用户。如果我还使用 ACS，我可以立即获得“本地”帐户和使用其他提供商（Facebook、Microsoft 帐户等）。

因此，我一直在寻找 DAYS，但我什至找不到一个教程或示例，甚至没有人谈论包含 WP8、Azure AD/ACS 和 Web API 的流程。

我只能找到有关使用移动服务进行身份验证的教程，并且我不想使用它，因为它对于我需要的东西来说似乎很简单。

目前是否支持此用例？是否可以使用 Azure AD 对 WP8 应用程序的用户进行身份验证，然后接收令牌以使用托管在 VM 中的 Web API 进行授权？