Asp.net 从（本地）windows身份验证更改为ADFS

至少我认为我指的是ADFS？！ 好的，我创建并部署了一个员工使用的简单asp.net web应用程序。 它使用windows身份验证。windows帐户是服务器的本地帐户，因为此服务器位于DMZ中。 这种方法很好用，但已经变得比我想象的更受欢迎，现在已经在整个组织中使用

显然，我现在遇到了一个问题，即任何离开该组织的员工仍然可以访问此web应用程序。不好的！我认为ADFS可能是答案，而不是一个全新的基于表单的账户管理系统。这不是我的专业领域，所以如果我走错路或使用胡说八道，请容忍我。我们的广告是本地的，但我们将其同步到MS cloud，这样我们就可以使用NT帐户进行365个应用程序，使用SSO进行第三方基于web的产品。我希望我的web应用程序与基于web的第三方应用程序执行相同的操作。 我在谷歌上搜索了很多，但很快就在adf/OWIN/OAuth的演讲中迷失了方向

---

如果我知道确切的搜索词适合我的场景，我可以回到我的研究。。。如果有人能给我指出一篇文章，它展示了如何准确地完成我需要的工作，而不必我去上SAML等速成班，那也太棒了。

你想继续使用windows身份验证，而不是本地帐户创建和使用域用户帐户吗。DC将能够相应地进行验证。对于离开并仍有访问权的员工，您需要一个适当的策略，该策略在他们离开公司时禁用/删除广告中的用户帐户对象，以便该帐户不再存在或已启用。

您认为仍要使用windows身份验证，而不是本地帐户创建和使用域用户帐户。DC将能够相应地进行验证。对于离开并仍有访问权的员工，您需要一个适当的策略，该策略在他们离开公司时禁用/删除广告中的用户帐户对象，以便该帐户不再存在或启用。

首先，就入职/离职策略达成一致，ADFS不会解决此问题，因为ADFS会针对广告进行身份验证。Azure AD也不会

你可以走两条路：

安装ADFS。然后在所有应用程序中实现SSO。而是选择Azure广告

使用Azure广告。您的用户已同步到O365的Azure广告

您可以使用OpenID连接而不是SAML

---

有许多示例可供您参考。

首先，同意入职/离职政策，ADFS不会解决这一问题，因为ADFS会针对AD进行身份验证。Azure AD也不会

你可以走两条路：

安装ADFS。然后在所有应用程序中实现SSO。而是选择Azure广告

使用Azure广告。您的用户已同步到O365的Azure广告

您可以使用OpenID连接而不是SAML

---

有许多示例可供您参考。

据说此服务器位于DMZ中-这似乎排除了使用域控制器的可能性。难道您没有提到要同步到云吗？你能让云中的服务器来做吗？不，我没有提到，因为我不是问这个问题的那个人。我只是指出，在DMZ中通常意味着您无法访问防火墙内的服务，例如域控制器。据说此服务器位于DMZ中-这似乎排除了域控制器的使用。难道您没有提到您同步到云吗？你能让云中的服务器来做吗？不，我没有提到，因为我不是问这个问题的那个人。我只是指出，在DMZ中通常意味着你无法访问防火墙内的服务，例如域控制器。我刚刚检查了我们的Azure门户并查看了企业应用程序。我们这里已经有使用SSO的应用程序。具体来说：因此，基本上我需要将这种能力编织到我现有的asp.net web中app@rbrayb当前位置新的昵称让我困惑了一段时间，但旧的图标仍然存在。致意：）@Penfold该链接是为SAML提供的。使用我链接到的其中一个示例并通过应用程序注册连接这些示例要容易得多。这使用OpenID连接。但这取决于你@WiktorZychla嗨！是的，我正在调整我所有的用户名我刚刚检查了我们的Azure门户并查看了企业应用程序。我们这里已经有使用SSO的应用程序。具体来说：因此，基本上我需要将这种能力编织到我现有的asp.net web中app@rbrayb当前位置新的昵称让我困惑了一段时间，但旧的图标仍然存在。致意：）@Penfold该链接是为SAML提供的。使用我链接到的其中一个示例并通过应用程序注册连接这些示例要容易得多。这使用OpenID连接。但这取决于你@WiktorZychla嗨！是的，我正在对齐我所有的用户名