验证与Azure AD的ADFS联合

Posted 2021-05-03

关于这个问题：Azure AD graph API using on-premise domain

我使用Azure AD连接工具在内部部署ADFS和Azure AD之间建立了联合。在验证的最后一步，我碰到了这个：

我认为这是因为ADFS需要以某种方式暴露于互联网。可能使用代理服务器。在Azure门户中，域现在标记为联合。我曾尝试向https://login.microsoftonline.com/ {domain} / oauth2 / token发帖，当我使用直接创建Azure AD域的xx.onmicrosoft.com用户时，它可以正常工作。当我使用从内部部署AD同步的用户@ {domain}用户时，我仍然可以获得

“”error“：”invalid_grant“，”error_description“：”AADSTS70002：验证凭据时出错。 AADSTS50126：用户名或密码无效.....“就像我在设置联盟之前所做的那样。我实际上希望以某种方式重定向到内部部署登录屏幕

所以有两个问题：

1. 是否有必要通过联合代理将ADFS暴露给互联网，以免失败？
2. 如何使用内部部署用户正确测试登录Azure AD？

提前致谢 ：）

-Dan

答案

作为我自己问题的答案。

1. 我想要做的是让我的客户用户在我的azure广告域中。这意味着客户无法拥有自己的Azure AD或Office 365，因为域只能在Azure上存在一次。所以这不是解决方案。
2. 使用https：// {domain} / adfs / ls / idpinitiatedsignon