Windows Azure Active Directory (2) Windows Azure AD基礎

標籤：blog   http   os   使用   strong   for   ar   資料   2014   

　　《Windows Azure Platform 系列文章目錄》

 

　　Windows Azure AD (WAAD)是Windows Azure提供的一個REST風格的服務，為您的雲端服務提供了身份管理和存取控制的功能。微軟的很多線上服務，例如微軟Office 365, Dynamics CRM Online, Windows Intune及Windows Azure自身都在使用Windows Azure AD作為身份的提供方。通過使用Windows Azure AD，您可以將使用者的管理驗證交給Windows Azure AD來處理，也可以實現和上述服務以及越來越多的服務(當然也包括您自己的服務)之間的單點登入。此外，Windows Azure AD還允許您將本地活動目錄(AD)中的使用者及分組資訊通過目錄同步機制映射到Windows Azure AD中，從而允許您的客戶用其原有的活動目錄使用者來登陸到您的雲端服務。

　　Windows Azure AD是一個多租戶系統，您可以隨時建立新的租戶(tenant)來管理您的使用者。您的使用者資訊與其他租戶是完全隔離的。將使用者資訊儲存在Windows Azure AD中要比自行建立和系統管理使用者資料庫安全得多，因為Windows Azure AD在使用者資訊保密的機制上絕對是世界級的(否則微軟也不會把那麼多的關鍵使用者資訊放在Windows Azure AD上)。雖然說使用者的物理資料沒有"握在手裡"，卻比握在手裡安全得多。這就好比是把錢放在箱底和把錢存在銀行的區別一樣。

　　Windows Azure AD的驗證服務是免費的。

　　注意: Windows Azure AD租戶不是主網域控制站。Windows Azure AD只提供使用者管理和認證的服務，並不管理其他資源。

 

　　1.管理Windows Azure租戶和使用者

　　您可以通過Windows Azure管理入口網站來管理Windows Azure AD租戶以及其中的使用者，下面介紹這個過程的具體步驟。

　　1)登陸到Windows Azure管理入口網站

　　2)單擊左側面板的"Active Directory"，轉到活動目錄介面。單擊命令欄上的"建立"按鈕。如：

　　

　　3)在"建立目錄"視窗，輸入您目錄租戶的網域名稱(必須是唯一的)、網域名稱所屬地區(應該選擇您公司所屬的地區)，以及一個用於描述這個網域名稱的組織名稱。單擊建立按鈕建立目錄。如：

　　

　　4)在目錄建立後，單擊該目錄轉到其明細介面。在明細介面上，您可以看到您用於建立Windows Azure訂閱的Live 使用者列在使用者列表中。這是因為這個使用者是可以管理整個訂閱的全域管理員。但是這個使用者並不是您所建立租戶的成員——您可以從"Source From"列來觀察到這個使用者是Microsoft Account而不是租戶賬戶。要建立一個新租戶使用者，可單擊命令欄上的"添加使用者"按鈕。如：

　　

　　5)在"Add User"視窗，選擇"使用者類型"為"您的組織中的新使用者"，並制定一個使用者名稱，如。

　　

　　新建立的使用者名稱格式為[YourName]@[TentantID].onmschina.com。您也可以引入您自己的網域名稱。

　　

　　6)在接下來的介面中，輸入使用者的姓名、顯示名稱，並選擇使用者的角色。　

　　您可以建立user(普通使用者)，也可以建立Global Administrator(全域管理員)。如：

　　

　　7)在"Temporary password"螢幕，單擊"Create"按鈕為新使用者建立一個臨時密碼。如：

　　使用者在首次登陸時必須修改這個密碼。

　　

　　8)在建立了臨時密碼後，您可以選擇將密碼以明文的方式通過郵件發送給相應的使用者。可以同時輸入最多5個郵件地址。如：

　　注意離開這個介面後您將無法查看臨時密碼，所以應在關閉視窗前發送或者記錄密碼。

　　

　　現在您可以使用這個新租戶及其使用者了。

 

Windows Azure Active Directory (2) Windows Azure AD基礎