Назад | Перейти на главную страницу

«Пользователь с существующей учетной записью Microsoft» не может получить доступ к приложению с помощью единого входа Azure AD.

Вчера я следил за руководством Витторио Берточчи. «WS-Federation в компонентах Microsoft OWIN - быстрый старт» для настройки тестового приложения с использованием проверки подлинности Azure AD. Это мое первое использование Azure AD (я работаю один, поэтому не использую AD, точка). У меня только один клиент Azure AD, содержащий одно приложение.

Я создал тестового пользователя в арендаторе, david@mycompany.onmicrosoft.com, и может нормально войти в приложение:

Затем я попытался создать нового пользователя, david@mycompany.co.uk кто является пользователем с существующей учетной записью Microsoft (адрес электронной почты используется для входа в систему и управления порталом Azure, поэтому он работает в другом месте). Для создания этой учетной записи выбран соответствующий параметр -> Пользователь с существующей учетной записью Microsoft

Но я не могу войти в приложение как этот пользователь:

Кто-нибудь может объяснить, почему это так?

Если я удалю пользователя из клиента, то создайте заново, используя опцию New user in your organsation затем пользователь can войти в систему нормально (хотя им будет предложено сменить пароль).

Я не понимаю, в чем разница, особенно когда учетная запись работает нормально в другом месте.

Может случиться так, что эта учетная запись является одновременно действующей учетной записью Microsoft (ранее Live ID) и действующей учетной записью организации (Azure AD). Это может произойти (у вас есть Live ID в течение многих лет, после чего ваша компания подписывается на Office 365) и приводит ко всевозможным развлечениям и играм, потому что для «обнаружения домашней области» по умолчанию используется Azure AD.

В первом поле для входа, предоставленном Azure, попробуйте ввести любой адрес с адресом «@ outlook.com» - вы будете перенаправлены на страницу входа в Outlook (которая использует Live ID). На странице входа в Outlook введите адрес электронной почты и пароль «david@mycompany.co.uk». Я надеюсь, вы войдете в систему.

Я говорю о предыстории (и причине) этого сценария в моем блоге.

Фактически, есть три варианта на выбор при создании пользователя в Azure AD:

  1. Новый пользователь в вашей организации (это Azure AD)
  2. Пользователь с существующей учетной записью Microsfot (Live ID)
  3. Пользователь в другом каталоге Windows Azure AD (не в Live)

Вы уверены, что ваш david@mycompany.co.uk на самом деле является идентификатором MS Live ID, а не пользователем «другой Windows Azure AD»?

При указании параметра «Другой Windows Azure AD» проверяется, можно ли объединить учетную запись в федерацию, и на этой странице отображается результат «прошел / не прошел». Возможно, настройки федерации неверны в «другом Azure AD».

Ниже показано, как я забрасываю случайную информацию в поле «Другой Windows Azure AD», что приводит к ошибке поиска.

Я хотел бы расширить этот ответ, дайте мне знать, указывает ли что-либо из этого в правильном направлении.

PS: Сообщество Serverfault, пожалуйста, при необходимости исправьте меня по номенклатуре, re: «Live ID», «Azure AD»