У меня есть проект веб-роли в ASP.NET, созданный для развертывания Azure и нуждающийся в аутентификации.
Мне нужно выбирать между Office 365 и Active Directory на рабочем месте.
Похоже, что оба должны быть интегрированы в Azure Active Directory с помощью службы контроля доступа. Каковы плюсы и минусы обоих? Также, если есть другие возможности.Стратегии аутентификации веб-роли Azure
Как указывает астайков в своем комментарии к вашему вопросу, вы не ограничиваетесь включением служб контроля доступа в этом сценарии. Не уверен, почему он не представил этот комментарий в качестве ответа.
Если вы действительно должны идти против своего офиса 365 или в помещении AD, то то, что вы действительно говорите, является вопросом, в чем разница между ними. Я перечислю некоторые мысли, но сначала, если вы хотите реализовать это, то вот некоторые ссылки:
Предложения от MS на идентичности: http://msdn.microsoft.com/en-us/security/aa570351.aspx
Использование ADFS V2 в вашем Azure Развертывание: http://channel9.msdn.com/shows/Identity/WIF-Workshop-9-WIF-and-Windows-Azure/ Это немного и я не мог найти многого в использовании WIF для подключения Directo ADFS V2, который был более актуальным. Вам вообще не нужно включать ACS в это. К сожалению, это было неправильно понято, когда ACS был выпущен.
С помощью Office 365/Windows Azure AD: http://msdn.microsoft.com/library/windowsazure/dn151790.aspx
Примечание: Я подключил веб-сайтов, работающих в лазури непосредственно ADFSV2, но у меня не было возможности работать с материалом Waad/Office 365 пока.
Если вы решили разоблачить свой AD по посылке, вы, скорее всего, сделаете это, выставив его с помощью ADFS V2. Это то, что открывает конечную точку для кода, запускающего объекты WIndows Identify Foundation (WIF), для доступа и проверки подлинности. Результатом этого является то, что вам не нужно беспокоиться о входах в Office 365 или WAAD отдельно и может быть интересным выбором, если у вас нет этих сервисов для ЛЮБЫХ ПРОЧИХ причин, кроме одного сценария. Нижняя сторона заключается в том, что вы размещаете прокси-сервер для своего AD на конечной точке в своем собственном местоположении. Если вы потеряете связь с Интернетом, то никто, кто пытается использовать приложения в облаке, не сможет аутентифицироваться. Это также вариант, который я мог бы рассмотреть, если пользователи приложения в облаке будут ТОЛЬКО ПОЛЬЗОВАТЕЛЯ им, находясь за вашим брандмауэром (например, находясь в офисе или даже через VPN). Это связано с тем, что вы можете настроить его так, чтобы ваше приложение использовало конечную точку ADFS, которая НЕ подвергается интернету, но если они находятся за вашим брандмауэром, это все равно будет работать. Это в значительной степени гарантирует, что только люди, уже за вашим брандмауэром, могут использовать ваше приложение.
Если вы решили использовать интеграцию Office 365/WAAD, то вверх вы можете синхронизировать с вашим onpremise AD, чтобы дать единый вход для ресурсов в вашей сети, а также для приложений в облаке. Вы также делаете доступ к облачным приложениям более устойчивыми, потому что им не нужно зависеть от вашей открытой конечной точки ADFS V2. Если вы используете Office 365/WAAD по любой другой причине (например, ваша работодатель использует Office 365 для электронной почты, совместной работы и т. Д.), То это вариант, который я бы посмотрел в первую очередь.
Вы должны посмотреть ACS, если хотите интегрироваться с другими поставщиками идентификации, такими как Google, Facebook или даже другие компании. Технически вам также не нужно было бы использовать ACS в то время, но это, безусловно, сэкономит массу усилий на использование ACS и не будет писать код интеграции для каждого провайдера.
Ни один из подходов не должен проходить через ACS, если вы явно не хотите. Но вы также можете использовать ACS для интеграции с другими поставщиками удостоверений.Выбор абсолютно ваш, и вы должны полностью понимать потребности бизнеса в приложении, а также то, что означает использовать Azure AD (или, как вы называете, Office 365), локальный AD или другие поставщики удостоверений. – astaykov