Azure Active Directory和联合身份验证

Question

我们使用Azure Active Directory和联合身份验证。这没有问题 - 但我们需要让用户使用登录的Windows凭据以外的凭据登录。

现在发生的是

• 用户导航到我们的Web应用程序，并在Azure ADAL为JavaScript尝试登录
• 用户被重定向到https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=xxxx&redirect_uri=xxxx&client-request-id=xxxx&x-client-SKU=Js&x-client-Ver=1.0.2&nonce=xxxx
• 用户呈现一个用户名和密码框。
• 在输入用户名（即使是别人的用户名）（一旦焦点从用户名文本框丢失），页面显示

它看起来像这样的电子邮件与以上使用一个帐户从 微软。你想使用哪一个？工作单位或学校帐户工作 或学校帐户由工作单位或学校指定

• 一旦点击“工作单位或学校帐户”，用户呈现

重定向我们正在做你到你的组织的登录页面。

• 将页面重定向到URL

https://ds1.mydomain.com/adfs/ls/auth/integrated/?username=me%40mydomain.com&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%xxxxx&popupui=1

• 用户在使用他们的活动Windows凭据（即使他们进入了前一页上不同的用户名自动登录）。

如果我浏览到使用与非域（本地）帐户Windows会话的URL https://ds1.mydomain.com/adfs/ls/auth/integrated/?username=me%40mydomain.com&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%xxxxx&popupui=1，我得到一个标准的集成身份验证提示

所以 - 好像我们的ADFS服务器使用在IIS网站上集成Windows身份验证。

我的问题是 - 我如何允许用户以web应用程序的其他域用户身份登录。是否有我可以使用的特殊ADFS登录URL？如果是这样，我该如何告诉Azure应用使用该URL。或者有没有办法按需要以其他方式禁用集成身份验证？

谢谢。

UPDATE：

我看到，如果我点ADFS URL的基本身份验证端点

https://ds1.mydomain.com/adfs/ls/auth/基本 /?username=me%40mydomain.com & WA = wsignin1。0 & wtrealm =骨灰盒％3afederation％3aMicrosoftOnline & wctx = estsredirect％3D2％26estsrequest％XXXXX & popupui = 1

提示我输入基本身份验证（正是我想要的）......让我怎么告诉我的Azure的AD或Azure AD App使用什么登录URL？我怎样才能有条件地控制它？

Answer 1

其实答案非常简单（与小提琴手一些帮助）：

添加&提示=登录重定向到login.microsoftonline.com当由ADAL的JavaScript生成的查询字符串。这会导致MS门户重定向到ADFS表单身份验证URL，而不是使用集成安全性的URL。

Answer 2

您需要从相关机器上的本地Intranet区域删除AD FS，以便它们提示或更好地查找AD FS中基于用户代理的目标，并配置这些机器以发送触发器的用户代理基于表单的AuthN。

看一看https://technet.microsoft.com/en-us/library/dn727110.aspx了解更多信息。