Single-Sign-On

external 身份驗證/SSO/IdP 配置 Azure 控制台?

  • May 24, 2020

我正在尋找有關如何將 Azure“IAM”配置為信任外部 IdP/身份驗證伺服器的指針……我試圖找到有關 Azure 文件的方法……這並不容易。幫助將不勝感激…

更多上下文:

我必須解決的挑戰應該是“簡單的”:我需要使用 3rd 方身份驗證/MFA 解決方案來管理對 Azure“雲”控制台的訪問,控制哪些使用者訪問控制台等。

所以我的第一個想法是將 Azure 控制台/IAM 配置為使用外部IdP 進行使用者訪問/SSO … 現在,查看文件,我可以看到很多關於如何使用 Azure AD 充當 IdP 的資訊其他系統,但不是關於如何充當外部 IDP 的 SP。此外,我發現 Azure AD 的所有不同“風味”似乎都有些令人困惑……

我能找到的越近是這樣的:https : //docs.microsoft.com/en-us/azure/active-directory/b2b/direct-federation,但我不確定這是否是要遵循的方法…

還有其他文章,如https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp似乎適用於使用 SAML IDP 訪問Office 或其他 MS 服務——但不是針對 Azure“租戶”本身?

任何提示都超過讚賞😉!

編輯:為了清楚起見,對語法和消息進行了一些清理)

如果您希望來自另一個 IDP 的使用者登錄(同時在另一個 IDP 上進行身份驗證)並在 Azure AD 中接收權限,則直接聯合是一種方法。然後可以將其與 Azure MFA 和條件訪問策略結合使用,以提供更多“因素”。

但是,如果如您所說,您“只是”想要第三方 MFA 解決方案 - DUO、RSA 和其他一些已經可以與 Azure AD 一起使用。

經過更多搜尋後,似乎直接聯合路由是要走的“路”,至少在預設情況下(基本 Azure 租戶、沒有“購買”ADFS 等)……當/如果添加了其他 Azure 服務…

至於其他選項,我看到了來自@discondor 的評論,如果只需要直接將 MFA 添加Azure,它也給了我一些很好的建議:

如果這些解決方案已經到位,這是一種利用這些解決方案的方法。

當然,其他選擇是使用 Azure 自己的 MFA 解決方案……

引用自:https://serverfault.com/questions/1014096