현재 Azure ACS와 클레임 기반 Auth의 조합 및 사용자 지정 STS 사용 옵션을 이해하려고하고 있으며 천천히 (불행히도 몇 가지) 정보 소스를 거치고 있습니다. 나는 이것에 대해 더 많은 시간을 할애하기 전에 계획이 가능한지 확인하고 싶습니다. 직원과 고객이 인터넷을 통해 액세스하는 복수의 푸른 역할 (웹 + 작업자)이 있습니다. 또한 직원들은 로컬 네트워크 내부에서 이러한 역할 및 데스크톱 응용 프로그램에 액세스합니다.Azure ACS + Custom STS, 하이브리드 시나리오 가능?
사용자 데이터는 두 가지 출처에서 제공됩니다. 우리의 하늘빛 응용 프로그램은 고객과 직원에 대한 사용자 데이터, 직원들로부터의 (지역) 광고 만 제공합니다.
로컬 네트워크를 통해 액세스 할 때 가능한 한 효율적 (인체 공학적)으로 로그인 경험을 만들려면 데스크톱 응용 프로그램 (Windows 사용자 프로필 컨텍스트로 인해 자동으로)에서 직원을 자동으로 인증 (Windows 통합 인증?)해야합니다. 하늘빛 응용 프로그램 (잘하면 로그인 페이지 없음). 고객은 푸른 색 응용 프로그램에 액세스 할 때 사용자 자격 증명을 입력해야하지만 다른 "자격 증명 소스"사이를 결정할 필요는 없으며 사용자 이름 + 비밀번호 양식 만 받아야합니다. 로컬 네트워크에서 즉 는
- 직원 방문 푸른 응용 프로그램 -> 통합 인증/AD 데이터
- 직원 방문 인터넷에서 하늘빛 앱 자동 로그인 -> 사용자 이름 + 비밀번호 형태
- 고객 방문 푸른 응용 프로그램
1)가 AU 심지어 가능 : - 인터넷에서> 아이디 + 비밀번호 형태
이 질문을 쓰는 동안, 두 개 더 마음에 와서 소스/쿠키/마법사를 기반으로 로그인을하지 않거나 "자격 증명 - 소스"를 선택하기 위해 수동으로 사용자를 선택해야합니까?
2) Azure ACS가 Username X가있는 AD 계정이 Azure App User Y와 동일하다는 것을 "알고있는"경우, 로그인 한 사용자와 상관이 있습니까? 앱이 로그인 경로에있는 동일한 소유권 주장 데이터에 액세스 할 수 있습니까?
직원들에 대한 부분은 정확히 내가 직원 - 시나리오 (필요해야). 불행하게도 고객 ADFS와의 바인딩을 구축하는 것은 불가능합니다 (일부 고객은 신생 기업 또는 Linux 기반 회사입니다). 저는 인증 요구에 Facebook & Co에 의존하기를 원하지 않습니다. 사용자가 Facebook 및 Google 계정으로 인증하도록하는 데 가치가 있지만 내 것과 같은 아키텍처에서는 그렇지 않습니다. 그걸 기반으로 사용자 정의 STS를 만드는 것 외에 다른 것을 보지 못했습니다. – Pharao2k
사용자 정의 STS 작성은 실행 가능한 옵션이지만 최후의 수단으로 저장하는 것이 좋습니다. 복잡 할 수 있으므로 사용자 계정 프로비저닝을 직접 관리해야합니다. Google Apps에서 실행되는 작은 상점과 신생 기업을 많이 보았습니다.이 경우 특정 Google Apps 도메인으로 범위가 지정된 Google ID를 신뢰하도록 ACS를 설정하면 잘 작동 할 수 있습니다. 또한 ADFS와 잘 작동하는 Linux 연합 솔루션도 있습니다. 예를 들어, PingFederate는 더 많은 사람들이 선호하지만 물론 파트너 조직에 따라 달라질 수 있습니다. –