使用 Office 365 的 SSO

Question

我们目前有一个本地网站，我需要将其公开，但要求用户使用其 office 365 用户名和密码登录。

我的问题是我到处寻找，似乎找不到 ubuntu 服务器的实现。

我还看到了许多将 Office 365 帐户同步到本地 AD 帐户的实例，但并非相反。

理想情况下，它应该通过单点登录来实现。

Answer 1

您需要将您的网站注册为 Azure AD 应用程序，该应用程序将为您提供应用程序 ID 和应用程序密码。然后，您的网站将需要实施 oauth 2.0 流程。 Microsoft 为大多数平台提供库，但如果他们没有适合您的库，则可以通过 REST 调用访问所有内容。

Answer 2

有两种最有可能实现这一目标的方法：

1. 在应用程序中配置 SAML SSO，然后使用 Azure AD 作为 IdP（如 Bernhard's comment）。这将允许您的应用程序获取在 Saml 令牌中传递的信息。您仍然需要通过某种反向代理将网站展示到 Internet
2. 考虑将您的网站放在Azure App Proxy 后面。这将允许您通过 Internet 发布站点而无需打开任何防火墙端口，并且允许您使用 KCD 登录用户而无需在应用程序中配置任何内容，只需启用 Windows 集成身份验证。这提供了两个非常重要的好处：1) 未经身份验证的访问者根本无法访问该站点，从而提供了重要的 DDoS/攻击保护；以及； 2) 通常不需要反向代理或其他设备