Я разрабатываю продукт, назовем его CP (расшифровывается как крутой продукт). Пользователи входят в CP с использованием своих учетных данных, и в этом случае их учетные данные для CP и AAD (Office 365) совпадают. После того, как они вошли в CP, я хочу автоматически зарегистрировать их в AAD.
Существует два очевидных пути:
- Включите аутентификацию домена AAD в CP. Я не хочу этого делать, потому что многие пользователи никогда не будут использовать CP и ожидают своего стандартного интерфейса AAD во время входа в систему.
- Объедините аутентификацию CP в AAD и разрешите им входить в CP, выполнив вход в AAD. Я тоже не хочу этого делать, потому что CP на самом деле предлагает специальный экран входа в систему.
Так что я хочу отправить учетные данные напрямую в офис 365 через какую-то ссылку, которую я не смог найти. Или настройте AAD таким образом, чтобы он не интегрировал свою аутентификацию, но позволял CP войти в систему для пользователя.
Я искал использование первичного Refre sh токена, который является способом SSO для Office 365 работ на Windows станках. Однако для этого требуется регистрация устройства. Я мог бы зарегистрировать «поддельное» устройство и запросить PRT, используя это поддельное устройство. Тем не менее, это кажется излишним и все равно потребует инъекции cook ie в браузер клиента. Поэтому этот путь также кажется нежелательным.
Для ясности, я говорю о реальном входе пользователя в браузер, я не ищу токен (поэтому ROP C не является решением ).