Azure AD OAuth 2令牌端点是否可以将kerberos令牌作为身份验证代码?

时间:2016-10-07 12:29:25

标签: azure oauth kerberos azure-active-directory

使用Azure AD执行OAuth 2.0流时,documented process将重定向Oauth auth端点以获取authtoken,在用户登录时获取重定向,然后调用令牌端点以获取您的访问权限令牌传递了Auth代码,给出了第一步。

我正在执行此操作的应用程序已经是kerberos令牌,是否可以在不使用Azure AD进行重定向的情况下获取访问令牌?例如,OAuth端点可以使用kerberos票证吗?

基于我所读到的所有内容,这是一个不。我只想验证,因为没有必要进行重定向以获得更好的用户体验会很好。

2 个答案:

答案 0 :(得分:1)

托尼,

我假设您正在与AuthorizationCodeFlow http://openid.net/specs/openid-connect-core-1_0.html#CodeFlowAuth通话。最简洁的答案是不。 AAD发布“代码”并跟踪请求工件,以便它可以发出与用户相关的id_tokens和access_tokens。

答案 1 :(得分:1)

不,没有标准化的授权类型指定如何在令牌端点处为访问令牌交换Kerberos令牌。该规范留下了将其定义为未来扩展的空间。

目前,您唯一的标准化选项是:

  • 使用资源所有者密码凭据流来避免 重定向但失去SSO
  • 使用授权代码流来利用Kerberos 以SSO方式进行身份验证,但需要重定向。