我们的网络应用程序与一个政府身份提供商进行最终用户身份验证。此IdP基于SAML 2.0。 Web应用程序正在调用在MS Azure AD中注册的Web服务,并且需要使用某种令牌进行身份验证。到目前为止,我在Azure AD中进行身份验证的所有示例都基于JWT Bearer令牌。
答案 0 :(得分:1)
据我了解你的问题,你无法达到你想要的效果!
Azure AD 身份提供商本身。目前,Azure AD无法联合到另一个身份提供商(除了内部的Live ID)。
在Azure AD中创建应用程序(注册应用程序)时,只需在Azure AD和应用程序之间创建信任。并且您使应用程序仅信任Azure AD 。在此图片中,您的其他SAML-P身份提供商无处可寻。
您可以实现所要求的唯一方法是在 SAML提供商和 Azure AD 之间建立信任。目前,Azure AD不支持此功能。
如果您的Web应用程序仅通过服务器端代码(而非客户端)调用Web API,则可以使用Client Credential OAuth流。为此,您必须向Azure AD注册Web应用程序,并明确授予其在Azure AD中注册的Web API应用程序的访问权限。检查this documentation for more information。