您是否可以将Windows Azure Active Directory与第三方Active Directory配合使用？

Question

我目前正在设置一个将在Windows Azure平台上托管的ASP.NET MVC应用程序。该应用程序可能会被数百个第三方使用，每个第三方都有自己的一组个人用户，这需要通过登录进行身份验证。我正在考虑使用Windows Azure Active Directory（WAAD）进行身份验证。

很显然，我可以用WAAD设立单独登录为每个用户，然后将它们添加到已设置了它们属于第三方组。

这将可能是足以满足大多数第三方。但是，有些用户可能已经拥有自己的Active Directory（AD），它们可能是也可能不是WAAD，其所有用户都是其成员。我想知道是否有一种方法可以相对容易地为他们提供一种方法，让他们将Active Directory连接到我的WAAD，从而允许他们的目录用户使用我们的WAAD进行身份验证。

我已阅读关于本地AD积分与WAAD，无论是通过同步或使用联合登录。但是，所有文章似乎都针对与您的“您的”WAAD链接的“您的”本地AD。显然，既然你管理这两个目录，那里就有内在的信任。但是，由于显而易见的原因，我只相信第三方对其用户进行身份验证，并且不希望开放一种机制来管理我的WAAD并影响其他用户或组。

所以......

1. 我可以连接第三方广告与我WAAD，让他们验证其用户提供了应用程序，而不会影响我的WAAD的安全性？
2. 如果是这样，什么是配置这种设置的最佳方式？例如，我会使用标准的联邦服务软件，还是有更合适的？

Answer 1

1）您绝对可以向其他Azure AD租户的用户公开Azure AD应用程序，而无需管理他们的目录或授予他们对您的访问权限。 Azure AD文档将这类应用称为“多租户”。你可以在https://azure.microsoft.com/en-us/documentation/samples/active-directory-dotnet-webapp-multitenant-openidconnect/找到一个详细的例子。 2）多租户应用程序的操作假定所有参与的目录都有其相应的Azure ADS租户。例如，他们确实设置了Office365或任何其他云服务。直接联合不会在这种情况下工作，因为应用程序的准时供应和许可和访问规则的实施依赖于目录和用户存储在共享的基础架构（尽管仍然是完全隔离的形式对方，总是声音多租户系统中的情况）。 请尝试一下这个例子，希望它有助于使上面更具体。 HTH

Answer 2

您也可以看看Azure的AD B2B和B2C（预览）选项 - https://blogs.technet.microsoft.com/ad/2015/09/16/azure-ad-b2c-and-b2b-are-now-in-public-preview/