《Windows Azure Platform 系列文章目录》
Windows Azure AD (WAAD)是Windows Azure提供的一个REST风格的服务,为您的云服务提供了身份管理和访问控制的功能。微软的很多在线服务,例如微软Office 365, Dynamics CRM Online, Windows Intune及Windows Azure自身都在使用Windows Azure AD作为身份的提供方。通过使用Windows Azure AD,您可以将用户的管理验证交给Windows Azure AD来处理,也可以实现和上述服务以及越来越多的服务(当然也包括您自己的服务)之间的单点登录。此外,Windows Azure AD还允许您将本地活动目录(AD)中的用户及分组信息通过目录同步机制映射到Windows Azure AD中,从而允许您的客户用其原有的活动目录用户来登陆到您的云服务。
Windows Azure AD是一个多租户系统,您可以随时创建新的租户(tenant)来管理您的用户。您的用户信息与其他租户是完全隔离的。将用户信息存储在Windows Azure AD中要比自行创建和管理用户数据库安全得多,因为Windows Azure AD在用户信息保密的机制上绝对是世界级的(否则微软也不会把那么多的关键用户信息放在Windows Azure AD上)。虽然说用户的物理数据没有"握在手里",却比握在手里安全得多。这就好比是把钱放在箱底和把钱存在银行的区别一样。
Windows Azure AD的验证服务是免费的。
注意: Windows Azure AD租户不是主域控制器。Windows Azure AD只提供用户管理和认证的服务,并不管理其他资源。
1.管理Windows Azure租户和用户
您可以通过Windows Azure管理门户来管理Windows Azure AD租户以及其中的用户,下面介绍这个过程的具体步骤。
1)登陆到Windows Azure管理门户
2)单击左侧面板的"Active Directory",转到活动目录界面。单击命令栏上的"创建"按钮。如下图:
3)在"创建目录"窗口,输入您目录租户的域名(必须是唯一的)、域名所属地区(应该选择您公司所属的地区),以及一个用于描述这个域名的组织名称。单击创建按钮创建目录。如下图:
4)在目录创建后,单击该目录转到其明细界面。在明细界面上,您可以看到您用于创建Windows Azure订阅的Live 用户列在用户列表中。这是因为这个用户是可以管理整个订阅的全局管理员。但是这个用户并不是您所创建租户的成员——您可以从"Source From"列来观察到这个用户是Microsoft Account而不是租户账户。要创建一个新租户用户,可单击命令栏上的"添加用户"按钮。如下图:
5)在"Add User"窗口,选择"用户类型"为"您的组织中的新用户",并制定一个用户名,如下图。
新创建的用户名格式为[YourName]@[TentantID].onmschina.com。您也可以引入您自己的域名。
6)在接下来的界面中,输入用户的姓名、显示名称,并选择用户的角色。
您可以创建user(普通用户),也可以创建Global Administrator(全局管理员)。如下图:
7)在"Temporary password"屏幕,单击"Create"按钮为新用户创建一个临时密码。如下图:
用户在首次登陆时必须修改这个密码。
8)在创建了临时密码后,您可以选择将密码以明文的方式通过邮件发送给相应的用户。可以同时输入最多5个邮件地址。如下图:
注意离开这个界面后您将无法查看临时密码,所以应在关闭窗口前发送或者记录密码。
现在您可以使用这个新租户及其用户了。