Azure 不支持使用SAML:LiveId进行WAAD身份验证

我正在开发一个支持Windows Azure Active Directory（WAAD）身份验证的web应用程序。在WAAD中，我添加了一个已经拥有Microsoft帐户的用户

我使用SAML2.0协议进行身份验证请求

在我的应用程序中，在访问受保护的资源时，我将用户重定向到：

https://login.windows.net/<id>/saml2/SAMLRequest=...&RelayState=...

我错过了什么

在WAAD web管理控制台上，我没有看到这样的设置。我尝试了单租户/多租户两种选择

是否有可能使用

foobar@.onmicrosoft.com

据我所知，没有

到目前为止，让用户使用Live ID登录到您的应用程序的唯一方法如下：

• 使用（或更好地称为ACS）
• 使用
• 使用带有备注的Azure Active Directory。这句话是： **如果您首先在目录租户中设置了该用户，则只能使用LiveID登录Azure Active directory。当您在Azure Active Directory租户中创建新用户并在添加过程中将其添加为LiveID电子邮件时，将发生资源调配。然后，您的AAD中将该用户标记为“源于”->“Microsoft帐户”：

您尝试实施的联合类型当前仅适用于Microsoft内部应用程序，而不适用于客户。目前唯一适用于客户的联合身份验证服务是访问控制服务

---

关于ACS的未来以及将这些联合功能合并到AAD的下一个版本中的计划。但我们还没有到达那个未来。

不幸的是，我不能使用ACS，因为我被迫使用SAML协议请求（并期望SAML协议响应）。ACS仅支持带有WS-Trust协议的SAML2.0断言，这是不够的。使用WAAD，我已经设置了一个Microsoft帐户用户。我用截图编辑了我的问题。是的，你是对的，ACS不支持SAML-P协议。但是你也不能和WAAD一起使用联邦。。。使用普通waad用户登录应该可以正常工作。尝试使用WAAD用户登录时会出现什么错误(user@foo.onmicrosoft.com)？我刚刚再次尝试与WAAD用户进行身份验证(user@foo.onmicrosoft.com)，现在它运行良好。只有配置的Microsoft帐户失败。幸运的是，我认为WAAD用户身份验证对我们来说更重要，我们可以在没有配置的Microsoft帐户的情况下生存。

<samlp:AuthnRequest ForceAuthn="false"
                ID="b6f579bb-c7fc-49b1-a8f1-bbe2ad99da5d"
                IsPassive="false"
                IssueInstant="2014-07-25T06:38:11.303Z"
                ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                Version="2.0"
                xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
                xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
<saml2p:Issuer>....onMicrosoft.com</samlp:Issuer>
<saml2p:NameIDPolicy AllowCreate="true"/>
<saml2p:RequestedAuthnContext Comparison="exact">
    <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml:AuthnContextClassRef>
</saml2p:RequestedAuthnContext>

ACS20031: Sign-in with LiveId is not supported for this application.