Kann Azure Active Directory als Login-Broker verwendet werden?

Question

Meine Firma möchte etwas entwickeln, das sie eine "Login Broker" für eine On-Premise-Desktop-Anwendung Anwendung auch in der Entwicklung nennt. Die On-Premise-Anwendung wird Azure-Dienste in erheblichem Umfang nutzen (DocumentDb, Tabellenspeicher, Service Fabric usw.). Unser Ziel ist es, in der Lage zu sein, die Hauptanwendung ohne Kenntnis der Konfigurationswerte zu verteilen, um Azure-Ressourcen (Endpunkte, Schlüssel usw.) zu erreichen. Wenn sich ein Benutzer über den Login Broker anmeldet, wird die Desktop-Anwendung dann darüber informiert, wie sie ihre Ressourcen erreichen kann, welche Berechtigungen der Benutzer in der Anwendung hat und so weiter.

Bisher hat meine Forschung mich in Richtung Anspruch-basierte Authentifizierung (ich bin sehr neu in diesem Bereich), die im Konzept korrekt klingt. Sobald sich ein Benutzer anmeldet, sind die Ansprüche, die wir in ein Token setzen möchten, die oben erwähnten Besonderheiten, und wir werden zweifellos weitere Behauptungen haben, von denen wir noch nichts wissen, die wir behaupten wollen.

Meine Frage ist, muss mein Unternehmen einen benutzerdefinierten Login-Service/Broker zur Authentifizierung von Benutzern entwickeln und eine Konfiguration Payload liefern, oder kann Azure Active Directory diese Notwendigkeit in der Art und Weise, wie ich beschrieben? Ist das eine Sache, für die AAD nativ geeignet ist, oder wäre das ein Schuhanzieher, den wir lieber meiden würden?

Answer 1

Was Sie sieht aus wie die föderierte Identität beschrieben, lokal Microsoft hat die Active Directory Federation Services, in der Wolke gibt es ein paar Optionen:

1) Azure AD Access Control Services - https://azure.microsoft.com/en-us/documentation/articles/fundamentals-identity/#ac

2) Azure AD B2C - https://azure.microsoft.com/en-us/services/active-directory-b2c/

Ich würde empfehlen, einen Blick auf die Azure AD B2C zu werfen.