Проверка подлинности ADFS веб-приложения, подключенного к Azure AD, с помощью процесса авторизации OAuth 2.0 - PullRequest
Новая
       34

Проверка подлинности ADFS веб-приложения, подключенного к Azure AD, с помощью процесса авторизации OAuth 2.0

0 голосов
/ 29 августа 2018

Я должен предисловие, заявив, что я не являюсь экспертом в Microsoft AD, Azure AD и Office 365. Я прочитал множество документов Microsoft, сообщений о поддержке и сообщений Stackoverflow и не смог найти ответ на этот конкретный вопрос. вопрос.

У меня есть веб-приложение, в котором есть опция «Войти через Office365». Это было реализовано с использованием библиотеки Microsoft ADAL и OAuth 2.0 потока авторизации .

У меня есть клиент, который использует ADFS и Azure Active Directory вместе (Федеративная идентификация в этом документе) . Они объединяют входы своих пользователей в AD FS, которая делегирует проверку подлинности локальному серверу, который проверяет учетные данные пользователя, что, в свою очередь, позволяет их пользователям получать доступ к Office365 и другим облачным службам.

Их локальная AD синхронизируется с Azure AD и не синхронизирует пароли.

У меня вопрос в два раза:

1) Будет ли стандартная реализация работы потока авторизации OAuth 2.0 поддерживать эту настройку? Будет ли Azure AD знать, что нужно идти в ADFS для проверки подлинности?

2) Можно ли использовать Azure AD и поток авторизации OAuth 2.0 в качестве прокси-сервера IDP для ADFS?

1 Ответ

0 голосов
/ 30 августа 2018

1) Будет ли стандартная реализация потока авторизации OAuth 2.0 работа поддерживает эту настройку? Будет ли Azure AD знать, что нужно идти в ADFS, чтобы выполнить аутентификации

Да, это работает очень хорошо, если вы настроили федерацию с проверенным настраиваемым доменом с помощью Azure AD Connect (Федеративная идентификация в этом документе) . У меня есть живые примеры этого с веб-приложением, которое использует поток авторизации OAuth 2.0 (не требуя ничего особенного с точки зрения кода веб-приложения / конфигурации).

Процесс заключается в том, что вы сначала заходите на страницу входа в Microsoft>, выбирая учетную запись для работы / школы и указывая имя пользователя>, после ввода учетных данных вы получаете страницу входа в ADFS>, она продолжается так же, как обычная учетная запись Azure AD.

2) Можно ли использовать Azure AD и авторизацию OAuth 2.0 поток как прокси IDP для ADFS?

В некотором смысле, да. Хотя это не обычная настройка доверия федерации с обменом сертификатами, вам нужно вместо этого использовать AzureAD connect, как вы упомянули в ссылке выше (Федеративная идентификация в этом документе) .

...