如何使用Azure广告租户作为本地农场的身份提供商

Question

我成功设置了Azure Access Control Service以使用Facebook，Google并作为身份提供商作为一个上提索赔，索赔SharePoint Web应用程序。

接下来，我想尝试使用Windows Azure Active Directory租户作为身份提供商，并创建了一个测试广告作为[Myad] .onmicrosoft.com，添加了几个用户。

以下说明

http://www.cloudidenty.com/blog/2012/11/07/provisioning-a-directory-tenant-as-an-directity-provider-in-an-acs-namespace/ < / a>

我设置了一个WS-Federation身份提供者，包括其他（Facebook等） 但是，我收到错误“ACS50000：发出令牌的错误。”在尝试使用广告帐户登录时。

如何实现如何实现这一目标？我发现的大多数是目标应用程序开发人员使用Azure。我只想将广告用户作为身份提供商链接到我的SharePoint网站集/ Web应用程序。

更新：

我通过将应用程序添加到Azure广告，使用ACS URL

https：// [mynamespace] .accesscontrol.windows.net / v2 / wsfederation。

这让我成为WS-Federation元数据XML的URL，（与我尝试的链接基于上面引用的文章的链接不同）

我使用此URL在Azure ACS中创建WS-Federation身份提供程序。

最后，我必须使用powershell和new-msolserviceprincipal重新创建/修改以前在Azure广告中设置的应用程序。我不确定这是必要的，但在我做一些手动步骤之前似乎没有工作。

我删除了ServicePrincipal配置的whan添加Azure广告应用程序，并创建了一个新的带

$replyUrl = New-MsolServicePrincipalAddresses -Address "https://[mynamespace].accesscontrol.windows.net/v2/wsfederation"

New-MsolServicePrincipal -ServicePrincipalNames @("https://[mynamespace].accesscontrol.windows.net/") -DisplayName "MYLOGIN" -Addresses $replyUrl

.

$ ReplyURL是ACS端点

现在，我正在映射给定的名称声明到SharePoint中设置的名称索赔。我想可能有更好的方式来配置这个，但它似乎工作。

Answer 1

It might be worth a shot to try adding ACS as an App in Azure AD, configure it for Single Sign-On and then using the WS-Federation end point for the app to add the Identity Provider. The first part of this post has a more detailed walkthrough: http://blog.helloitsliam.com/Lists/Posts/Post.aspx?List=e10cb685-6b5c-4b6c-aaf4-e1d122d57174&ID=120