Я ищу указания о том, как настроить Azure «IAM» на доверие к внешнему IdP / серверу аутентификации .... я пытаюсь разобраться в документации для Azure, что ... непросто. Помощь будет более чем признательна ...
Еще немного контекста:
Задача, которую я должен решить должен быть «простым»: мне нужно использовать стороннее решение для аутентификации / MFA для управления доступом к «облачной» консоли Azure, для управления доступом пользователей к консоли и т. д.
Итак, моя первая идея - настроить консоль Azure / IAM для использования внешний IdP для доступа пользователей / SSO ... Теперь, просматривая документы, я вижу лоты информации о том, как использовать Azure AD в качестве IdP для Другой систем, но не столько о том, как действовать в качестве ИП для внешнего IDP. Кроме того, я считаю, что все доступные «разновидности» Azure AD несколько сбивают с толку ...
В ближе Мне удалось найти вот что: https://docs.microsoft.com/en-us/azure/active-directory/b2b/direct-federation, но я не уверен, следует ли следовать этому подходу ...
Есть и другие статьи вроде https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp которые кажутся применимыми к использованию SAML IDP для доступа к Office или другой службе MS, но не самому лазурному «арендатору»?
ЛЮБОЙ чаевые более чем оценены 😉 !!
(редактировать: Грамматика и сообщение немного очищены для ясности)
Прямая федерация - это подходящий вариант, если вы хотите, чтобы пользователи из другого IDP входили в систему (при аутентификации в другом IDP) и получали привилегии в Azure AD. Затем это можно комбинировать с Azure MFA и политиками условного доступа, чтобы предоставить больше «факторов».
Однако, если, как вы утверждаете, вы «просто» хотите стороннее решение MFA - DUO, RSA и некоторые другие уже могут использоваться с Azure AD.
После некоторого дополнительного поиска кажется, что маршрут прямой федерации - это «путь», по крайней мере, в случаях по умолчанию (базовый клиент Azure, без «приобретенных» ADFS и т. Д.) ... Может быть больше вариантов, когда / если добавляются другие службы Azure ...
Что касается других вариантов, я видел комментарий от @discondor, который дал мне также пару хороших указателей, если единственное, что нужно, - это добавить MFA к Azure напрямую:
Это способ использовать эти решения, если они уже существуют.
Конечно, другим вариантом было бы использовать собственное решение Azure MFA ...