quote:
Op dinsdag 23 oktober 2018 14:48 schreef Jiggle het volgende:@Banaanvragen: dus als ik het goed begrijp dan moeten die mensen Piet en Klaas dan eerst naar myapps.microsoft.com gaan, daar inloggen met hun azure account en komen ze daarna in de portaalomgeving terecht waarin ze naast toegang tot Microsoft-applicaties als Powerpoint, Onedrive, etc ook toegang hebben tot onze webapp?
Dat geeft wel een heel andere ervaring van een webapplicatie voor mijn gevoel. Ik zat meer te denken aan een inlogsystematiek zoals "Login met Facebook" zoals je vaak op websites ziet, of het voorbeeld met DigiD dat ik al noemde. Dit is dus totaal iets anders?!
Je moet AAD niet zien als een dienst om mee in te loggen, maar als een dienst waar je inlogt. Bekend voorbeeld is bijvoorbeeld hoe veel bedrijven office aan hun medewerkers aanbieden: De gebruiker gaat naar office365, wordt geredirect naar een microsoft inlogpagina waar gevraagd wordt om inloggegevens van bedrijf x, en gebruiker wordt teruggeredirect naar office 365 omgeving van bedrijf x. Feitelijk stuur je dus je gebruikersnaam+wachtwoord naar AAD waar je geauthenticeerd wordt. Bij 'inloggen met' diensten zoals facebook en google gaat je ww+username naar facebook danwel google, je webapp krijgt alleen te horen dat je bent ingelogd en wat basis gegevens. Voor de eindgebruiker is de ervaring hetzelfde, echter bij AAD kan je applicatie aan zowel de voor- als achterkant via AAD beveiligd worden, omdat ook niet web-based applicaties met AAD beschermd kunnen worden.
Het voordeel van AAD is dat een bedrijf zijn eigen AD kan syncen (of verplaatsen, of koppelen naar) met die in de Azure cloud, om zo werknemers toegang te verschaffen tot bijvoorbeeld office of andere webapplicaties met hun eigen werkaccount. Zodoende is 'Jiggle' in je webapp precies dezelfde 'Jiggle' die in het bedrijfsnetwerk op zijn account inlogt. Werk je bijvoorbeeld bij AH én Jumbo? Dan herkent AAD je account ahv je mailadres (jiggle@ah.nl of jiggle@jumbo.nl) en weet daardoor om welke inloggegevens hij moet vragen.
AAD authenticatie is vrij makkelijk in te bouwen in een webapplicatie, maar kan ook gebruikt worden om applicaties te laten inloggen op een database of andere diensten, of om in te loggen op virtuele machines. Omdat al deze diensten hieraan gekoppeld kunnen worden is het eenvoudig een ecosysteem van diensten, applicaties, achterliggende infrastructuur, databases, virtuele computers etc. aan inlogaccounts te hangen.
Qua
gebruikersmanagement is AAD volledig naar eigen smaak in te richten; als beheerder kun je zelf (handmatig) accounts toe voegen, of dit overlaten aan een andere AD (bijvoorbeeld die van je bedrijf) of een groep admins. Of een applicatie met de juiste rechten. Uiteraard is de veiligheid hiervan afhankelijk van hoe je deze rechten uitdeelt (en aan wie).