我正在寻找有关如何配置 Azure“IAM”以信任外部 IdP/身份验证服务器的指示.... 我正在尝试找到 Azure 文档的方法,但这并不容易。如果能得到帮助,我将不胜感激...
更多背景信息:
我必须解决的挑战应该变得“简单”:我需要使用第三方身份验证/ MFA 解决方案来管理对 Azure“云”控制台的访问,以控制哪些用户访问控制台等。
因此,我的第一个想法是配置 Azure 控制台/IAM 以使用外部的用于用户访问/SSO 的 IdP...现在,查看文档,我可以看到很多有关如何使用 Azure AD 作为 IdP 的信息其他系统,但关于如何充当外部 IDP 的 SP 的知识并不多。此外,我发现 Azure AD 的所有不同“风格”似乎都有些令人困惑……
这更接近我能找到的是这个:https://docs.microsoft.com/en-us/azure/active-directory/b2b/direct-federation,但我不确定这是否是应遵循的方法……
还有其他文章,例如https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp这似乎适用于使用 SAML IDP 访问 Office 或其他 MS 服务——但是不是对于 Azure“租户”本身?
任何非常感谢您的小费
答案1
如果您希望来自另一个 IDP 的用户登录(同时在另一个 IDP 上进行身份验证)并在 Azure AD 中获得特权,则直接联合是最佳选择。然后可以将其与 Azure MFA 和条件访问策略相结合,以提供更多“因素”。
但是,如果如您所说,您“只是”想要第三方 MFA 解决方案 - DUO、RSA 和其他一些解决方案已经可以与 Azure AD 一起使用。
答案2
经过进一步搜索后,似乎直接联合路线是“可行的方法”,至少在默认情况下是这样(基本 Azure 租户,没有“购买” ADFS 等)...如果添加其他 Azure 服务,可能会有更多选择...
至于其他选项,我看到了 @discondor 的评论,如果只需要添加 MFA,他也给了我一些很好的建议到直接使用 Azure:
如果这些解决方案已经到位,这是一种利用它们的方法。
当然,其他选择是使用 Azure 自己的 MFA 解决方案……