¿En qué se diferencia el flujo de autenticación con Azure Active Directory de Azure ACS?

Navega tus respuestas
1

Comprendo que Azure ACS actuó como un STS que tenía la capacidad de redirigir a los usuarios a un STS determinado (OpenID, LiveID, Facebook) o autenticarse con una cuenta de usuario / contraseña local.

En una situación pasiva, ACS usaría redirecciones y respondería con un token SAML, y podría ser un STS de usuario que posea cuentas de usuario o un STS de recursos que protege sitios web pero deja la autenticación del usuario para otro host.

Ahora que ACS se está depreciando en favor de Azure Active Directory . Me gustaría saber cuáles son las diferencias fundamentales en el funcionamiento de Azure AD en el cable.

Pregunta

  • ¿Cuáles son algunos patrones de solicitud de respuesta de muestra que se verían al usar Azure Active Directory en un enfoque activo o pasivo?

  • Dado que Azure permite la integración de AD en las instalaciones, ¿cómo se logra el descubrimiento del reino de la casa con un UPN arbitrario?

pregunta random65537 15.08.2013 - 23:54
fuente

1 respuesta

1

HRD se realiza a través de dos mecanismos diferentes, que se utilizan en contextos pasivos o activos. El método pasivo determinará el reino basado en el nombre de usuario después de que hayan perdido el enfoque del campo de nombre de usuario. Se realiza una búsqueda del nombre de usuario y determina a qué inquilino está vinculado el nombre de usuario. Si el inquilino requiere autenticación federada, el sitio redireccionará al nuevo IdP. El método activo determina el reino según el nombre de usuario entrante, y si se requiere la federación, se devuelve un puntero para usar el punto final del IdP.

Si HRD es necesario depende del método de autenticación vinculado al dominio del usuario. HRD es necesario para los dominios cuyo método de autenticación está marcado como federado.

El proceso básico funciona así:

  1. Obtén el sufijo de UPN
  2. Busca el sufijo en la lista de dominios
  3. Si el dominio está presente, mire AuthenticationMethod
  4. Si el método == está administrado, no redireccione
  5. Si context == pasivo obtiene PassiveLogOnUri
  6. Si el protocolo preferido == WS-Fed redirige a PassiveLogOnUri y establece wtrealm = urn: federation: MicrosoftOnline
  7. Si el protocolo preferido == SAML redirige a PassiveLogOnUri con SAMLRequest
  8. Si context == active, obtenga GetActiveLogOnUri y vuelva al llamante

Puede ver estos valores utilizando los cmdlets de MSOL PowerShell y llamando a Get-MsolDomainFederationSettings, Get-MsolDomain, etc. Consulte aquí (divulgación - escribí la publicación): enlace

Sin embargo, no estoy seguro de lo que quieres decir con los patrones de solicitud-respuesta. En un escenario que requiere HRD, básicamente funciona como

  

RST-> IdP (AAD) -> RST-IP (ADFS) -> RSTR -> IdP (AAD) -> RSTR

    
respondido por el Steve 16.08.2013 - 02:10
fuente

Lea otras preguntas en las etiquetas

XSS: ¿Qué tipo de codificación de texto es este? [cerrado] Fuzzing API de Android