将Windows Azure Pack与Active Directory集成_Azure_Azure Pack

将Windows Azure Pack与Active Directory集成

azure

将Windows Azure Pack与Active Directory集成,azure,azure-pack,Azure,Azure Pack,是否可以将Windows Azure Pack与Active Directory集成，并让域用户使用单点登录对租户门户进行身份验证？有人能指出一些好文章吗注意：我知道WAP支持ADF，但我正在寻找普通的广告支持 Windows Azure Pack租户门户使用基于声明的身份验证。它将所有身份验证委托给安全令牌服务（STS），该服务必须：支持WS-Federation 公开联合元数据终结点能够生成JSON Web令牌（JWT），至少包含“UPN”和可选的“组”声明要使用Active D

是否可以将Windows Azure Pack与Active Directory集成，并让域用户使用单点登录对租户门户进行身份验证？有人能指出一些好文章吗

注意：我知道WAP支持ADF，但我正在寻找普通的广告支持

Windows Azure Pack租户门户使用基于声明的身份验证。它将所有身份验证委托给安全令牌服务（STS），该服务必须：

支持WS-Federation
公开联合元数据终结点
能够生成JSON Web令牌（JWT），至少包含“UPN”和可选的“组”声明

要使用Active Directory凭据（NTLM/Kerberos身份验证），您需要满足这些要求的STS，并且可以使用Active Directory作为身份提供程序（或者将联合到能够提供身份提供程序的STS）

示例包括AD FS 3.0（正如您所指出的）和随WAP提供的STS，供管理门户使用。理论上，您也可以将管理门户STS用于租户门户，但文档明确警告不要这样做，警告这样做“将导致租户场景中断”

有关这方面的完整解释以及更多资源的链接，请参阅本文：

我为WAP租户尝试了以下方法，但失败：1。将AD与thinktecture Idp集成并创建自定义JWT令牌（错误：租户站点拒绝令牌）2。在租户身份验证站点中将ASPNetMembershipProvider替换为ActiveDirectoryMembershipProvider。希望有一种简单的方法来验证没有ADF的域用户。我仍然反对使用thinktecture通过AD完成STS工作——我想你已经看到了这一点，但下面是关于使用WAP设置thinktecture v2的详细概述。它显示了使用Live、Google和Facebook作为身份提供商而不是广告，但如果您的问题是由thinktecture和WAP之间的配置引起的，这可能会有所帮助。不幸的是，文档缺少几个关键点。看看这里：另外，ADFS 2不能与WAP一起使用。您需要使用ADFS 3，因为这是唯一支持JWTs的版本。@Steve，您对ADFS和JWT的看法完全正确。我已经编辑了我的答案。正如@Nomadic Paradox所说的，WAP是通过联盟进行索赔的。它不会直接为租户进行广告授权。这取决于你是否开始工作。使用ThinktectureIDP可以很好地工作，但是缺少一些重要的功能。见下面我的评论。