我有一个使用OpenID Connect由IdentityServer保护的Web应用程序。它将从Microsoft CRM启动,我想知道是否可以通过将IdentityServer联合到保护CRM的Azure AD来实现SSO?具体来说,我想知道是否有一种机制可以将CRM中的提示传递给我们的应用程序,以便IdentityServer不必显示登录屏幕,只需将授权请求定向到验证CRM用户的Azure AD即可? OpenID Connect协议定义了IdentityServer4似乎在其交互服务中实现的“login_hint”,但我不确定这是否是此参数的意图以及CRM如何将此参数传递给我们的应用程序,然后必须将其传递给IdentityServer。
另外一个皱纹,我们的应用程序是多租户,将从多个CRM实例启动。因此,我怀疑CRM“提示”必须引用Azure TenantId,以便可以实现正确的Azure AD路由。但是,也许可以使用Azure“通用”端点,以便多路复用器可以将请求路由到适当的Azure AD?如果是这样,我猜测CRM还必须通过CRM用户名,以便多路复用器知道相应的Azure AD?
正如你可能从我的所有问题中猜到的那样,我对安全性相对较新,不知道什么是可能的,哪些路径可以带来成功。