azure - 什么是允许公共和政府 Azure SSO 登录到我们的网站,同时在同意屏幕上将我们的应用程序标记为已验证的正确方法?
问题描述
我们已经在我们的站点上实施了(公共云)Azure SSO 登录,没有任何问题。然而,新客户只需要使用政府云。同时支持政务云登录和公有云登录的正确方式是什么?
我采取的方法是在政府门户中创建一个全新的应用程序:portal.azure.us 现在问题是我在公共门户网站(portal.azure.com)中有一个应用程序,在政府门户网站中有一个单独的应用程序(portal.azure.us) - 这是一个问题,因为最多只能在 1 个租户上为我们站点的根域进行“域验证”。我无法在这两个地方验证我们的根域(根据 Microsoft 支持)。这是一个问题,因为没有我们的根域的域验证,政府云中的应用程序同意屏幕显示我们公司名称下的 UNVERIFIED,这显然不适合生产使用。公众同意屏幕很好,因为我们进行了“发布者验证”来验证我们的应用程序。(政务云不提供发布者验证)
在 2 个云中拥有 2 个应用程序是不是我犯了一个错误?我们是否应该只使用政府云应用程序,并让所有最终用户(公共和政府)通过它登录?假设这是可能的并且是最好的行动方案,我基本上可以删除我们的公共云应用程序,从而释放我们的根域以仅在政府应用程序中进行验证,这将修复我们的同意屏幕。这是适合我们情况的最佳做法吗?
解决方案
• 根据您的方案,azure public 中的身份和 azure Government 中的身份将拥有自己的凭据集,就像您同时拥有 Azure Public 和 Azure Government 订阅一样,两者都需要单独的身份。因此,一个人将有两个身份来访问他们在 Azure Public 和 Azure Government 中的订阅中的资源。
• 如果在一个订阅中验证了组织的根域,而在另一个订阅中添加了子域或同一域,则将验证其 DNS 记录在公共 DNS 服务器中更新的一个,并显示另一个作为未经证实的。此方案与直接在 Azure AD 中托管的目录有关。
• 如果您有一个同步到 Azure 公共 AD 租户以及 Azure 政府 AD 租户的本地 Active Directory,则公共 azure 中的根域将被验证为根域本身的名称,而 Azure 中的根域政府 AD 将使用“domainname.onmicrosoft.us”作为域后缀。对于在相应云订阅中同步的身份,此域后缀也将相同,但根域将在两者中显示为已验证。
• 因此,目前,您必须根据应用程序的重要性在 Azure 公共和 azure Government 中优先访问应用程序,并相应地验证该订阅中的域名,以便应用程序同意显示并遵守。在两个订阅中访问应用程序的用户,即 azure public 和 azure Government 将继续分别拥有两组凭据。
请参阅以下官方文档链接以获取更多信息:-
https://docs.microsoft.com/en-us/azure/azure-government/documentation-government-plan-identity
推荐阅读
- java - 在底部导航视图上多次点击时应用程序崩溃
- java - Allure testNg:向环境部分添加细节
- lme4 - gtsummary 和 lmerTest
- python - 为什么我的 django 模板无法识别我在 views.py 文件中设置的 url 参数?
- ruby-on-rails - Rails 协会变得难以理解
- typescript - 基于可选参数的打字稿函数返回类型
- sql - 触发器捕获数据并将其移动到具有不同列的另一个表
- r - 如何遍历多个列以生成多个交叉表
- python - Pig Latin Program 出于某种原因删除了标点符号。为什么有任何线索?
- javascript - 使用 FileReader 加载后透明图像不透明