我们正在评估一些选项,以便为应用程序实现单点登录,因为我们引入了一些新客户,并且我们一直试图弄清楚Azure AD是否可以帮助我们。
该应用程序具有Web API和单页面应用程序网站。因此,我们希望使用oAuth流保护Web API,并使用Azure AD或Identity Server v3作为执行此操作的选项进行评估。我们需要连接到SAML身份提供商。 (最终我们希望基于客户登录支持多个身份提供商,但有些人使用SAML IDP,我们也可能将Azure B2C用于本地用户,但我不想因此而分心)
我现在的主要问题:是否可以使用Azure AD,以便我可以让某些用户针对其组织托管的基于SAML的身份提供商进行身份验证?
Azure AD会处理我的Web API授权吗?我的Web API将使用OWIN中间件来检测承载令牌并重定向到Azure,后者将重定向到客户身份提供程序以进行登录。我认为这曾经属于Azure的ACS功能,但已改为Azure AD保护期,我不确定它能做什么。
澄清#1:我不想将Azure AD用作我的身份提供者。我想拥有它secure my app with oAuth tokens flow,但重定向到一个单独的客户托管身份提供商进行身份验证。所以我要去www.contosobikes.com使用API api.contosobikes.com,这是由AD发行的令牌保护,但后来我有“注册”的东西,所以用户登录id.somecustomer.com,然后被重定向回来。这是我认为我们可以使用Identity Server实现的类型,我正在尝试查看Azure AD是否可以执行此操作。
答案 0 :(得分:2)
是。 Azure AD Premium可以充当SAML身份提供程序。基本(非付费)版本仅允许在所谓的Azure AD应用程序库中预先配置的应用程序列表,这对您无济于事。
以下是MS描述的链接:http://www.wpbeginner.com/wp-tutorials/how-to-fix-wordpress-posts-returning-404-error/
您还可以在Azure AD之上插入Auth0等身份验证提供程序,以便在不升级到高级层的情况下“启用SAML”Azure AD。
在你的问题中,你提到了oAuth和SAML--这令人困惑。据我所知,这两者是相互排斥的。
答案 1 :(得分:2)
Azure AD可以与基于SAML的IdP联合。
您可以在此处找到支持/测试的基于SAML的IdP列表:https://www.microsoft.com/en-us/download/details.aspx?id=56843
如果符合要求,您还应该能够联合任何其他基于SAML的IdP,并按照本文档中列出的步骤进行:https://msdn.microsoft.com/en-us/library/azure/dn641269.aspx
答案 2 :(得分:0)
是的,Azure AD可以用作SAML身份提供程序。 Azure广告比ADFS具有一些新功能,例如已经对用户组进行了清理以在您的应用程序中使用,这与ADFS不同,我们需要从X500专有名称格式中解析用户组。