# 连接 Microsoft Azure AD
Authing 支持连接 Microsoft Azure AD (Active Directory),从而实现:
- 允许你或你的组织内的用户,使用 Azure AD 登录你开发的应用。
- 允许其他组织的用户,使用 Azure AD 登录你开发的应用。
# 准备工作
- 如果你还有 Authing 账号,你可以在此 (opens new window)注册。
- 如果你还没有 Azure 账号,你可以在此 (opens new window)注册。
# 步骤
- 在 Azure Portal 中注册你的应用
- 创建一个 Client Secret
- 给你的应用 API 添加权限
- 在 Authing Console 创建 Azure AD 连接
- 为你的应用开启此 Azure AD 连接
- 测试 Azure AD 连接
# 在 Azure Portal 中注册你的应用
为了让用户通过 Azure AD 账号登录你的应用,你需要先在 Microsoft Azure portal 注册你的应用。
详细的官方文档:Quickstart: Register an application with the Microsoft identity platform (opens new window)
注册应用过程中,请注意以下两个配置:
Supported account types: 支持的账号类型,根据你的实际情况选择合适的类型。如果你希望其他组织的账号也能够使用你的应用,请选择Any Azure AD directory - Multitenant,如果你只希望自己组织的成员使用你的应用,请选择Single tenant。
如果你选择的是 Single tenant,当其他组织的用户尝试使用 Azure AD 登录时,会提示类似以下的错误:
Redirect URI: 请填https://core.authing.cn/connections/azure-ad/callback
创建过后,Azure 会自动为此应用创建一个应用 ID (Client ID),你可以在 Overview 菜单看到,后面需要用到,请先记录下来。
# 创建一个 Client Secret
进入应用详情页面,在 Certificates & secrets 页面,点击 + New client secret 按钮:
选择 secret 过期时间:
之后你可以看到生成的密钥,后面需要用到,请先记录下来
# 给你的应用 API 添加权限
请确保你的应用具备以下权限:
Users > User.Read: 当前登录用户能够读取到自己的用户资料。Directory > Directory.Read.All: 当前登录用户能够读取用户目录的相关数据。
# 在 Authing Console 创建 Azure AD 连接
请确保你按照上述流程操作,获取了 Azure AD 应用的 Client ID 和 Client Secret。
- 前往 Authing 控制台 (opens new window) 连接身份源 / 企业身份源 页面,找到 连接微软 Azure AD
- 填入以下必填信息
连接标志符: 这是此连接的唯一标志符,设置之后不能修改。显示名称: 如果设置,Authing 登录表单将会显示一个 "使用 {displayName} 登录" 的按钮。应用 Logo: 如果设置,Authing 登录表单将在 "使用 {displayName} 登录" 的按钮上显示此图标,该图标会展示为 20 * 20。Client ID: 第一步获取到的 Azure AD 应用的 Client ID。Client Secret: 第一步获取到的 Azure AD 应用的 Client Secret。
- 配置高级选项 (可选)
每次登录同步用户资料: 默认开启。当开启时,Authing 会在用户每次使用 Azure AD 登录的时候自动同步用户的 profile。邮箱验证同步策略: 默认设置为 false。由于 Azure AD 无法保证每个用户的邮箱都是验证过的,所以你需要根据你的实际场景选择。
# 为你的应用开启此 Azure AD 连接
你可以在 应用详情 的 配置登录表单 页面选择是否为该应用开启 Azure AD 身份源连接:
# 测试 Azure AD 连接
点击右上角的 体验 按钮,前往登录表单页面,可以看到登录表单下方多了一个 使用 Azure AD 登录 的按钮:
点击此按钮,会跳转到 Azure AD 的登录页面:
输入正确的账号密码之后,你讲可以看到成功登录提示:
刚刚登录的用户在 Azure AD 中的用户资料也将被同步到 Authing 用户池中:
