Windows Azure Active Directory (2) Windows Azure AD基础

　　《Windows Azure Platform 系列文章目录》

　　Windows Azure AD (WAAD)是Windows Azure提供的一个REST风格的服务，为您的云服务提供了身份管理和访问控制的功能。微软的很多在线服务，例如微软Office 365, Dynamics CRM Online, Windows Intune及Windows Azure自身都在使用Windows Azure AD作为身份的提供方。通过使用Windows Azure AD，您可以将用户的管理验证交给Windows Azure AD来处理，也可以实现和上述服务以及越来越多的服务(当然也包括您自己的服务)之间的单点登录。此外，Windows Azure AD还允许您将本地活动目录(AD)中的用户及分组信息通过目录同步机制映射到Windows Azure AD中，从而允许您的客户用其原有的活动目录用户来登陆到您的云服务。

　　Windows Azure AD是一个多租户系统，您可以随时创建新的租户(tenant)来管理您的用户。您的用户信息与其他租户是完全隔离的。将用户信息存储在Windows Azure AD中要比自行创建和管理用户数据库安全得多，因为Windows Azure AD在用户信息保密的机制上绝对是世界级的(否则微软也不会把那么多的关键用户信息放在Windows Azure AD上)。虽然说用户的物理数据没有"握在手里"，却比握在手里安全得多。这就好比是把钱放在箱底和把钱存在银行的区别一样。

　　Windows Azure AD的验证服务是免费的。

　　注意: Windows Azure AD租户不是主域控制器。Windows Azure AD只提供用户管理和认证的服务，并不管理其他资源。

　　1.管理Windows Azure租户和用户

　　您可以通过Windows Azure管理门户来管理Windows Azure AD租户以及其中的用户，下面介绍这个过程的具体步骤。

　　1)登陆到Windows Azure管理门户

　　2)单击左侧面板的"Active Directory"，转到活动目录界面。单击命令栏上的"创建"按钮。如下图：

　　

　　3)在"创建目录"窗口，输入您目录租户的域名(必须是唯一的)、域名所属地区(应该选择您公司所属的地区)，以及一个用于描述这个域名的组织名称。单击创建按钮创建目录。如下图：

　　

　　4)在目录创建后，单击该目录转到其明细界面。在明细界面上，您可以看到您用于创建Windows Azure订阅的Live 用户列在用户列表中。这是因为这个用户是可以管理整个订阅的全局管理员。但是这个用户并不是您所创建租户的成员——您可以从"Source From"列来观察到这个用户是Microsoft Account而不是租户账户。要创建一个新租户用户，可单击命令栏上的"添加用户"按钮。如下图：

　　

　　5)在"Add User"窗口，选择"用户类型"为"您的组织中的新用户"，并制定一个用户名，如下图。

　　

　　新创建的用户名格式为[YourName]@[TentantID].onmschina.com。您也可以引入您自己的域名。

　　

　　6)在接下来的界面中，输入用户的姓名、显示名称，并选择用户的角色。　

　　您可以创建user(普通用户)，也可以创建Global Administrator(全局管理员)。如下图：

　　

　　7)在"Temporary password"屏幕，单击"Create"按钮为新用户创建一个临时密码。如下图：

　　用户在首次登陆时必须修改这个密码。

　　

　　8)在创建了临时密码后，您可以选择将密码以明文的方式通过邮件发送给相应的用户。可以同时输入最多5个邮件地址。如下图：

　　注意离开这个界面后您将无法查看临时密码，所以应在关闭窗口前发送或者记录密码。

　　

　　现在您可以使用这个新租户及其用户了。

　　

　　注意：以上的步骤，只是在Azure AD增加了用户账户，并不代表可以使用新的Azure AD账户登录windows azure管理界面。