问题标签 [azure-active-directory]

使用 ADAL 库获取 WAAD 的令牌，我想知道如何更好地控制登录流程。

提示用户登录。对我来说是通过 Live Id，对于我客户的计算机是通过组织帐户，并且无法在它们之间切换。它似乎由计算机可能运行的当前会话的方式/当前会话控制，这些会话已经登录到 azure。

我可以在 AcquireToken 调用中做任何事情来控制它吗？如果我可以在人们登录 Azure 时触发正常流程，他们可以选择它是实时 ID 还是组织登录，那将是最好的。

我试过这个：

没有运气。

如本文所述，我已成功设置 Azure AD 和 Salesforce 之间的 SSO 集成。

使用此配置，用户必须知道转到 Azure AD 访问面板才能登录 Salesforce。这似乎是使用 SAML 的标准身份提供者发起的 SSO。

我想将服务提供商启动的 SSO 与 Azure AD 一起使用。我希望用户能够打开深度链接的 Salesforce URL，重定向到 Azure AD 登录页面，然后重定向回最初请求的 URL。这可能吗？

我正在尝试使用 azure 活动目录验证多个客户端（从 Windows 服务器应用程序连接 - 无浏览器）访问我的 .Net4.51 webAPI。

我为我的 webapi 创建了一个名为“ServerWebApi”的 Azure AD 应用程序，并使用以下应用程序设置将我的 webapi 应用程序代码配置为在 webConfig 中指向它。

因此，当请求带有令牌时，它应该使用这些设置来针对我的名为 ServerWebApi 的 AD WebApi 应用程序验证令牌。

现在，为了让每个客户端都能获得令牌，我为每个客户端创建了一个 Azure 应用程序。（我没有将它创建为本机应用程序，而是作为 webapi 应用程序创建，以便我可以为每个客户端创建一个单独的密钥）。我还将 Azure 中的实际 webAPI 应用程序 (ServerWebApi) 添加到“此应用程序访问的 Web API”列表中。（对于这个例子，我的第一个客户端称为 myClientWebApiApp）

所以现在我的客户端可以成功地从其客户端应用程序在 AD 中请求一个令牌，但是当它发布到服务器（webapi）时，我得到一个 401 - 未经授权。因此，我认为我未能针对我的 Azure AD ServerWebApi webApi 验证令牌。

我用来获取令牌并调用我的 webApi 的客户端应用程序代码如下

它使用以下配置设置

Client Id 是我创建的 Client webapi 应用程序的 ID，ClientSecret 是我在 Azure AD 中针对该应用程序创建的密钥。

有谁知道我正在做的事情是否可行，如果可以，我做错了什么？

我之前（成功地）创建了一个 Windows Azure Active Directory，添加了一个自定义域，并使用本地 ADFS2.0 服务器将其配置为单点登录和目录同步。到目前为止，一切都很好。

意识到我应该将自定义域附加到现有的 WAAD 而不是新的，然后我决定删除新的。为确保不存在删除本地 AD 中任何对象的风险，我首先删除了本地 ADFS 服务器上的信任关系。

不幸的是，这让我现在无法使用 Azure Active Directory PowerShell cmdlet 来管理 WAAD - Connect-MSOLService 要么返回“异常类型‘Microsoft.Online.Administration.Automation.MicrosoftOnlineException’被抛出。” 如果我使用订阅所有者的 Microsoft 帐户凭据（但电子邮件地址恰好与我添加的自定义域位于同一域中），或者“用户名或密码不正确。验证您的用户名，然后尝试再次”，如果我使用该目录的另一个全局管理员的凭据，其电子邮件地址不在自定义域上。

两组凭据都允许成功登录门户。

不幸的是，我现在无法删除 WAAD，因为它包含对象 - 并且没有 PowerShell 访问权限，我不相信我可以在删除信任之前批量删除从本地同步的约 500 个用户和组。

知道如何恢复信任关系、成功连接 PowerShell 或删除不需要的目录吗？

非常感谢！

我正在试验 Windows Azure Active Directory。在客户端（桌面）应用程序中，用户输入其凭据并进行身份验证以访问 REST 服务。我正在使用最新版本的 Active Directory 身份验证库。在我的场景中，我希望用户插入他的凭据一次，因此我存储刷新令牌并通过调用 AuthenticationContext 对象的 AcquireTokenByRefreshToken 方法使用它来更新访问令牌。我的问题是：刷新令牌会过期吗？我可以在获得刷新令牌数天或数周后使用它吗？

Currently our company has an intranet web app (built with asp.net) using windows authentication verifying users against an in house active directory to be able to access the app. We are thinking about moving the app out to azure and extending our active directory in house out to azure as well.

We are stumbling upon how this works when a user is trying to access the web app once it is setup in azure if users are working remotely and not in the office. Currently the user will log in through a juniper SSL client when remote to get into the local domain. Once they do so they can access the intranet web app since they are now on the domain and can be verified by AD.

How would this work if we put our web app out into azure? Do they offer a front end a user can log into (similar to juniper) which will then verify them against the azure ad, and only then they can access the web app based on windows authentication?

NOTE: Our goal if possible is for a DR solution and if the office is not accessible we would like to bypass needing to use juniper to get onto the domain first before going up to azure and into the web app.

我正在为我的公司试用 Azure Active Directory 中的多租户功能。我们希望为我们的 Web 应用程序的用户提供单点登录和基于声明的身份验证和授权。一些客户拥有自己的 Azure AD，而其他客户将在我们拥有的 Azure AD 中获得用户。我们希望允许来自其他已批准 Azure 租户的所有用户进行身份验证，但仅应授权特定用户，因为我们按每个应用程序按用户收费。希望我们的 Azure AD 组可以用于此目的。我已经成功创建了一个测试应用程序，它允许我的 Azure AD 和另一个租户的用户登录到我们的应用程序。

我的问题是：是否可以将来自另一个 Azure AD（我们无法控制）的用户添加到我们 Azure AD 中的组，以便我们可以使用用户的组成员身份来允许访问我们构建的不同应用程序？这是可能的还是我误解了一些基本的东西？:) 我们是否应该放弃 Azure AD 组并使用我们自己的单独数据库来存储可以在 ASP 安全管道期间分配给所有租户的用户的声明？

我测试的应用程序获得了对其他 Azure AD 的读取权限和对我们 Azure AD 的读取/写入权限。我无法通过 Azure 管理门户将用户（来自另一个 Azure AD）分配给我们的组（“在您有权访问的目录中不存在具有此用户名的用户。”），到目前为止我一直无法做到这一点使用应用程序中的图形 api。将我在 Azure AD 中创建的用户添加到我们的组可以正常工作。

我不希望 ShortTermDeveloper@hotmail.com 成为我的 Azure 帐户的管理员。我也不想与一群开发人员共享 Admin@MyBusiness.com 密码。我想要的（我认为）是我们习惯的 - 管理员帐户和子帐户，甚至是组。

为企业处理 Azure 帐户的用户管理的最佳方式是什么？

哪些变量很重要？

• 如果我有一个域？我必须有一个吗？
• 一些特殊的订阅级别？这叫什么？

谢谢

我正在使用下面的代码尝试将主域传递给 Windows azure Active Directory 登录。我可以看到代码正在将 whr 参数添加到 login.windows.net，但它没有添加到 logon.microsoftonline.com。我正在尝试让它为域上的用户自动登录。

我想知道是否可以将新的活动目录自定义登录页面预览与第三方应用程序一起使用？我们正在努力使事情正常进行，但我们只能习惯于默认登录页面。自定义登录页面似乎适用于 office365 和 azure 门户，但不适用于自定义应用程序......