我在这里拍了一些瞎子,因为我不是一个Azure专家,也不会在O365和DirSync之外搞砸它。
我们有一个用Ruby on Rails编写的第三方应用程序,他们表示将在下一个版本中提供SAML支持,并可以通过与Azure AD进行潜在同步来实现SSO。 他们的云应用程序托pipe在Azure上。 第三方还没有完全对我们说如何。 他们表示,他们将把它作为Windows应用发布。 我在Azure中看到类似于“从画廊添加应用程序”…是我正在寻找什么?
我的问题是,如果在Azure中托pipe,我们现有的Office 365附带的Azure AD是否可以使用此第三方应用程序进行SSO设置? 如果是这样,任何链接或信息做这样的事情? 所有我最终search结束与我回到DirSync或类似的,我知道这不是DirSync我正在寻找。
这是我在我们的Azure AD门户下面的?
您的自定义应用程序必须按照本联机指南上的stream程stream程以自定义应用程序的forms注册到Azure AD。 有几个选项可以集成您的自定义应用程序 – 您可以执行基于密码或基于联邦的应用程序。
如果您的应用程序将支持基于SAML的身份validation,那么您将使用上述指南中未提及的基于联邦的身份validation,但在几个位置 上还包含MSDN的更多详细信息 。
请注意,您必须订阅基本或高级Azure AD层来访问此function。
这是一个两个协议的故事,Office365支持快速configuration支持OpenIDConnect协议的应用程序,它可能是你用一个可信任的身份提供商提供的OpenIDlogin到这个网站:(你应该能够在这里用OpenIDlogin你的O365)
SAML 2.0是Web SSO的更完整的实现,但使用SOAP / XML,而OpenIDConnect用户RESTful / JSON和服务提供者/资源服务器(Apps)可以dynamic注册,但是其他许多function将会“范围'
AzureAD SAML身份提供程序不是该协议的完整实现,它不支持eduperson模式,也不会从URL(例如联邦)下载元数据。
微软是OpenID基金会的成员,同时还有很多其他商业既得利益者,例如Google,Facebook,Paypal或者其他所有用户都属于我们的人,所以自然而然地,他们扼杀了Azure AD做其他有用的事情支持基本function – 想要授予一组用户从门户访问某些应用程序? – 这是Azure AD溢价! – 门户网站顺便说一句,只是一个支持OpenIDlogin的应用程序列表 – SF也可能在那里列出,这并不意味着什么,它只是很多专家bangerery,也列出的应用程序,支持SAML协议这些将需要Azure AD的一些configuration和应用程序的一些configuration – 所以它甚至毫无意义甚至列出这些(在华丽的门户网站),让你知道“这个应用程序支持SAML”。 Azure AD还将支持身份validation代理,在该代理中,应用程序不支持SSO协议,因此可以将其configuration为进行一次性身份validation,然后记住凭据,因此也暴露了这些残酷的黑客行为。 AzureAD和Office365的酷派助手有趣的是,这一切都始于一个DirSync – 这些协议发明解决的邪恶 – 在这里! 有我所有的用户? – 所以在这方面AzureAD都是皮大衣,没有内裤。
您可以在Domain上运行所有这些,使用Shibboleth完整实现SAML,或者使用SAML和OpenIDConnect捆绑SSO协议堆栈,像gluu https://www.gluu.org/gluu-server/overview/它不会瘫痪,是免费的,你不必把所有的用户都提交给第三方。 我不推荐以上任何一项 – 我只是告诉你,你不需要AzureAD,而且你在联合身份validation中所涉及的人越多,就越没有两个协议的“高级特性”社区的志愿者们驴子交出来了。