Использование Azure AD для идентификации клиента

Question

Мы пишем веб-приложение, ориентированное на клиента (.net/mvc), но хотим использовать Azure AD в качестве метода аутентификации по соображениям безопасности, а также для возможных будущих причин. Веб-приложение будет (возможно) использовать проверку подлинности форм и аутентификацию в контроллере.

Мы хотим, чтобы у клиента была возможность использовать любой желаемый адрес электронной почты.

Возможно ли это? Когда я перехожу вручную, чтобы добавить кого-то в AzureAD, я не могу добавить кого-то, используя user1@myemail.com. Мы не хотим назначать адреса пользователей в нашем домене.

Gina

Answer 1

Вы должны взглянуть на Лазурном B2C (Business 2 Consumer) https://azure.microsoft.com/en-us/services/active-directory-b2c/

Это позволяет создать отдельный AD для внешних пользователей, позволяя им зарегистрироваться и подписаться на их собственный адрес электронной почты.

Это также позволит использовать новые функции, такие как Multi Factor Authentication для ваших внешних пользователей. Также он позволит вам хранить дополнительные свойства для каждого пользователя (например, customerid, address и т. Д.).

Answer 2

Если вы используете Azure Web Apps, который поддерживает ASP.NET MVC, то вы можете использовать механизм аутентификации Active Directory Azure. Вот сообщение в блоге, описывающее, как его настроить: https://azure.microsoft.com/en-us/documentation/articles/app-service-mobile-how-to-configure-active-directory-authentication/

После того, как вы это сделаете, для вашего приложения будет включено auth, и вы можете настроить приложение AAD на портале. См. Это сообщение в блоге для получения более подробной информации: http://blogs.technet.com/b/ad/archive/2014/12/18/azure-active-directory-now-with-group-claims-and-application-roles.aspx

Чтобы изменить уровни разрешений, вы должны будете использовать заявки на роль. См. Этот пример для руководства: https://github.com/Azure-Samples/active-directory-dotnet-webapp-roleclaims

К сожалению, вы не можете использовать адрес электронной почты, который вы хотите. Вам нужно будет связать адреса электронной почты с доменом или вы можете использовать учетную запись Microsoft (то есть адрес @ hotmail.com).

Если это сложно, вы можете просто использовать проверку подлинности для ASP.NET, которая позволит вам использовать любое электронное письмо, которое вы хотите. Вот пример: http://www.codeproject.com/Articles/601687/ASP-NET-MVC-Forms-Authentication-Customized

Answer 3

Я не думаю, что это возможно. Azure AD и Forms auth не предназначены для совместной работы. Вы должны выбрать тот или другой.

Что касается пользовательских адресов электронной почты с Azure AD, вы можете использовать либо адреса электронной почты в своем домене, либо добавить учетные записи Microsoft в качестве гостевых учетных записей (например, user1@outlook.com, user2@live.com, user3@hotmail.com , и т.д.). Невозможно использовать произвольные адреса электронной почты с Azure AD.

Основываясь на ваших требованиях, это звучит так: Forms auth - это путь.