Via onze FAQ-pagina stelde een gewaardeerde, reguliere bezoeker de volgende vraag:
We hebben een cloud-oplossing Metacom Online (MO) genaamd. Stel dat klanten willen dat de (eind)gebruikers van MO worden beheerd vanuit hun lokale AD of vanuit Azure AD. De verwachting is dus dat de CRUD van de gebruikers in MO automatisch wordt uitgevoerd. Het idee is dat we in MO een AD-groep instellen. Op basis van deze AD-groep worden de gebruikersgegevens in AD automatisch (periodiek) ingelezen en gesynchroniseerd: de AD als master, MO als slave. De wachtwoordcontrole wordt alleen in AD uitgevoerd. Logischerwijs zal MO dit moeten uitvoeren o.b.v. Azure AD (met SAML-protocol). Wat zijn de mogelijkheden als de klant geen Azure AD heeft, maar alleen een AD voor hun lokale netwerk?Kees Boot
Azure AD authenticatie-opties
Alvast op hoofdlijnen enkele mogelijkheden:
- Azure Active Directory B2B (Business to Business)
- User provisioning via SCIM en/of (custom) attribute mapping
- AD Federation Services tussen lokale AD van eindklant en je Azure AD
- Azure AD Proxy voor SSO met Kerberos Constrained Delegation
- Eindklant overtuigen om Azure AD (Free) te gebruiken 🙂
In de reacties hieronder kan iedereen deelnemen aan de dialoog over de mogelijkheden.
Beste Kees,
Beginnend met de laatste mogelijkheid (#5: eindklant overtuigen om Azure AD te gebruiken) – dit is een open deur maar verdient wel de voorkeur, omdat je tussen meerdere (separate) Azure AD’s van verschillende organisaties meer opties hebt dan tussen twee on-prem AD’s. Tussen twee on-prem AD’s denk ik dat alleen een ADFS-koppeling gaat werken (optie #3) zoals met ADFS 4.0 hier beschreven:
http://www.sparkhound.com/learn/blog/adfs-4-now-allowing-you-to-authenticate-via-ldap
Met twee Azure AD’s, van zowel de eindklant als de provider van de MO-cloudoplossing (jouw organisatie) kan een ingelogde eindgebruiker met/op eigen Azure AD account SSO door naar je MO-webapp.
Het beste alternatief lijkt mij optie #1 (Azure AD B2B) omdat de eindklant géén Azure AD hoeft te hebben. Ze kunnen gewoon met accounts in hun on-prem/lokale AD inloggen. Azure B2B maakt onderwater dan een los account aan in je Azure AD. Dit is gratis zolang je geen Premium-features (zoals MFA) gebruikt.
Tot slot, de eindklant zou hun users kunnen laten provisionen als losse accounts in de Azure AD van de MO-webapp. Zoiets doet Azure AD out of the box voor ik meen SalesForce en Workday, maar kan je zelf maken met behulp van Microsoft Identity Manager (MIM, voorheen Forefront Identity Manager/FIM).
Kan je hiermee vooruit?
Met vriendelijke groet,
Mike | +31613141018