我们的情况如下;
Company A Company B
+-----------------------------+ +----------------------------+
| | | |
| +---------------------+ | | +--------------------+ |
| | On Prem AD: main | | | | Azure AD DS: ext | |
| +----------|----------+ | | +--------------------+ |
| | | | |
| | | | +--------+ +--------+ |
| |Azure Sync | | | RDS SH | | RDS GW | |
| | | | +--------+ +--------+ |
| | | | |
| +----------|-----------+ | | +--------+ |
| | Azure AD: main-sync | | | | RDS CB | |
| +----------------------+ | | +--------+ |
| | | |
+-----------------------------+ +----------------------------+
我们正在寻找一种方法来允许公司 A 的用户登录公司 B 的 RDS 环境。
RDS 服务器已加入 Azure AD DS。
我们首先想到的是利用 Azure 的 B2B 功能(来宾帐户)。在域中邀请域中的用户可以main-sync
工作ext
,但登录加入ext
域的服务器上运行的 RDS 环境不起作用。
由于 A 公司已经在其主域和其自己的 Azure AD 之间使用了 Azure Sync,因此我们无法使用它来同步main
-> ext
。
我们可以做些什么来允许 B2B 帐户登录到 RDS 环境?
或者,如果我们允许 B2B 帐户登录的计划永远无法奏效——那么对于 A 公司来说,允许 B 公司 RDS 中的用户登录的最不具侵入性的解决方案是什么?
答案1
您将无法使用 B2B 来宾帐户登录。创建来宾帐户时,它会被添加到 Azure AD,并且由于您使用 AAD DS,因此 RDS 计算机可以看到它,但是,没有任何密码数据同步到 B2B 租户中。由于 RDS 计算机不理解 AAD,它们无法在源租户中查找凭据(就像使用 AAD 登录一样),因此会失败。
由于您在域 B 中使用 AAD DS,因此您可以做的事情有些受限。AAD DS 不支持信任,因此这是不可能的。您可以考虑使用 ADFS。最简单的选择可能是在域 B 中为域 A 中的用户创建第二组帐户。