我们使用Azure Active Directory和联合身份验证。这没有问题 - 但我们需要让用户使用登录的Windows凭据以外的凭据登录。Azure Active Directory和联合身份验证
现在发生的是
- 用户导航到我们的Web应用程序,并在Azure ADAL为JavaScript尝试登录
- 用户被重定向到https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=xxxx&redirect_uri=xxxx&client-request-id=xxxx&x-client-SKU=Js&x-client-Ver=1.0.2&nonce=xxxx
- 用户呈现一个用户名和密码框。
- 在输入用户名(即使是别人的用户名)(一旦焦点从用户名文本框丢失),页面显示
它看起来像这样的电子邮件与以上使用一个帐户从 微软。你想使用哪一个?工作单位或学校帐户工作 或学校帐户由工作单位或学校指定
- 一旦点击“工作单位或学校帐户”,用户呈现
重定向我们正在做你到你的组织的登录页面。
- 将页面重定向到URL
- 用户在使用他们的活动Windows凭据(即使他们进入了前一页上不同的用户名自动登录)。
如果我浏览到使用与非域(本地)帐户Windows会话的URL https://ds1.mydomain.com/adfs/ls/auth/integrated/?username=me%40mydomain.com&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%xxxxx&popupui=1,我得到一个标准的集成身份验证提示
所以 - 好像我们的ADFS服务器使用在IIS网站上集成Windows身份验证。
我的问题是 - 我如何允许用户以web应用程序的其他域用户身份登录。是否有我可以使用的特殊ADFS登录URL?如果是这样,我该如何告诉Azure应用使用该URL。或者有没有办法按需要以其他方式禁用集成身份验证?
谢谢。
UPDATE:
我看到,如果我点ADFS URL的基本身份验证端点
https://ds1.mydomain.com/adfs/ls/auth/基本 /?username=me%40mydomain.com & WA = wsignin1。0 & wtrealm =骨灰盒%3afederation%3aMicrosoftOnline & wctx = estsredirect%3D2%26estsrequest%XXXXX & popupui = 1
提示我输入基本身份验证(正是我想要的)......让我怎么告诉我的Azure的AD或Azure AD App使用什么登录URL?我怎样才能有条件地控制它?
当我以不同的用户登录时,SharePoint如何做到这一点?它显示集成身份验证提示,而不是表单身份验证。 – Jeff
联合SharePoint或者您正在讨论使用WIA的传统SharePoint本地安装? –
传统。我意识到这是不一样的,但不知何故,它在某些情况下可以绕过集成的身份验证并重新提示用户输入Windows凭据 – Jeff