Проверка / доверие токена STS Sharepoint Online

Question

Возможно, у меня неправильное представление о том, как мне поступить, но в настоящее время это так:
У меня есть служба WebApi, которая принимает запросы от Sharepoint Online (SPO), в которой передан токен SAML2.Маркер SAML2 выдан SPO STS, и мне нужно будет проверить токен и извлечь из него утверждения.
У меня вопрос Как мне проверить токен? Есть ли способ доверяю STS как-то, так что я могу просто проверить подпись (возможно, придется также расшифровать токен) на месте?Если нет, и я должен сделать еще один вызов STS, какой должна быть конечная точка для проверки токена?Я не мог найти много документации по этому вопросу.

Answer 1

Если вы используете O365 в качестве STS или IdP, и это обеспечивает подтверждение SAML2.0 для вашей службы, то вы должны получить его сертификат X509 (для проверки подписи полученного подтверждения SAML2.0) по ссылке метаданных: https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml.

Убедитесь, что вы получаете сертификат X509 из EntityDescriptor-> IDPSSODescriptor-> KeyDescriptor use = "signature" -> KeyInfo-> X509Data-> X509Certificate.