我有一个连接到用户机器和服务器的Azure域系统。我必须为ASP启用windows身份验证。NET应用程序(应用程序#1(,因此使用AAD登录到其计算机的用户可以无缝访问该应用程序。
然而,我必须在同一服务器上拥有另一个应用程序(app#2(,该应用程序应该能够作为同一AD租户的任何用户(模拟(访问app#1。用户可以看到一个登录页面(最好是某种Azure登录页面(。APP#2是否可以存储令牌,用于访问APP#1(仅使用Kerberos或NTLM身份验证(。
我已尝试设置Azure提供的应用程序代理连接器。但这似乎有些过头了,因为在这种情况下,两个应用程序都在同一台服务器上,不需要额外的往返。
有人能提出一个可行的解决方案吗?
创建一个专用服务帐户,配置协议转换和约束委托。添加您要委派的SPN。从您的服务帐户模拟到您的用户,执行操作,释放模拟凭据。