《Windows Azure Platform 系列文章目錄》
Windows Azure AD (WAAD)是Windows Azure提供的一個REST風格的服務,為您的雲服務提供了身份管理和訪問控制的功能。微軟的很多在線服務,例如微軟Office 365, Dynamics CRM Online, Windows Intune及Windows Azure自身都在使用Windows Azure AD作為身份的提供方。通過使用Windows Azure AD,您可以將用戶的管理驗證交給Windows Azure AD來處理,也可以實現和上述服務以及越來越多的服務(當然也包括您自己的服務)之間的單點登錄。此外,Windows Azure AD還允許您將本地活動目錄(AD)中的用戶及分組信息通過目錄同步機制映射到Windows Azure AD中,從而允許您的客戶用其原有的活動目錄用戶來登陸到您的雲服務。
Windows Azure AD是一個多租戶系統,您可以隨時創建新的租戶(tenant)來管理您的用戶。您的用戶信息與其他租戶是完全隔離的。將用戶信息存儲在Windows Azure AD中要比自行創建和管理用戶數據庫安全得多,因為Windows Azure AD在用戶信息保密的機制上絕對是世界級的(否則微軟也不會把那么多的關鍵用戶信息放在Windows Azure AD上)。雖然說用戶的物理數據沒有"握在手里",卻比握在手里安全得多。這就好比是把錢放在箱底和把錢存在銀行的區別一樣。
Windows Azure AD的驗證服務是免費的。
注意: Windows Azure AD租戶不是主域控制器。Windows Azure AD只提供用戶管理和認證的服務,並不管理其他資源。
1.管理Windows Azure租戶和用戶
您可以通過Windows Azure管理門戶來管理Windows Azure AD租戶以及其中的用戶,下面介紹這個過程的具體步驟。
1)登陸到Windows Azure管理門戶
2)單擊左側面板的"Active Directory",轉到活動目錄界面。單擊命令欄上的"創建"按鈕。如下圖:
3)在"創建目錄"窗口,輸入您目錄租戶的域名(必須是唯一的)、域名所屬地區(應該選擇您公司所屬的地區),以及一個用於描述這個域名的組織名稱。單擊創建按鈕創建目錄。如下圖:
4)在目錄創建后,單擊該目錄轉到其明細界面。在明細界面上,您可以看到您用於創建Windows Azure訂閱的Live 用戶列在用戶列表中。這是因為這個用戶是可以管理整個訂閱的全局管理員。但是這個用戶並不是您所創建租戶的成員——您可以從"Source From"列來觀察到這個用戶是Microsoft Account而不是租戶賬戶。要創建一個新租戶用戶,可單擊命令欄上的"添加用戶"按鈕。如下圖:
5)在"Add User"窗口,選擇"用戶類型"為"您的組織中的新用戶",並制定一個用戶名,如下圖。
新創建的用戶名格式為[YourName]@[TentantID].onmschina.com。您也可以引入您自己的域名。
6)在接下來的界面中,輸入用戶的姓名、顯示名稱,並選擇用戶的角色。
您可以創建user(普通用戶),也可以創建Global Administrator(全局管理員)。如下圖:
7)在"Temporary password"屏幕,單擊"Create"按鈕為新用戶創建一個臨時密碼。如下圖:
用戶在首次登陸時必須修改這個密碼。
8)在創建了臨時密碼后,您可以選擇將密碼以明文的方式通過郵件發送給相應的用戶。可以同時輸入最多5個郵件地址。如下圖:
注意離開這個界面后您將無法查看臨時密碼,所以應在關閉窗口前發送或者記錄密碼。
現在您可以使用這個新租戶及其用戶了。
注意:以上的步驟,只是在Azure AD增加了用戶賬戶,並不代表可以使用新的Azure AD賬戶登錄windows azure管理界面。