Web应用程序使用OAuth 2.0授权流对连接到Azure AD的ADFS进行身份验证

时间:2018-08-29 16:20:43

标签: azure azure-active-directory adfs adal

我必须先声明自己不是Microsoft AD,Azure AD和Office 365的专家。我已经阅读了许多Microsoft文档,支持和Stackoverflow帖子,但无法找到针对此特定问题的答案问题。

我有一个Web应用程序,该应用程序为用户提供了“使用Office365登录”选项。这是使用Microsoft's ADAL libraryOAuth 2.0 authorization flow来实现的。

我有一个同时使用ADFS和Azure Active Directory的客户(Federated Identity in this document)。他们将用户的登录与AD FS联合,后者将身份验证委派给内部部署服务器,该服务器验证用户凭据,从而允许其用户访问Office365和其他云服务。

他们的本地AD与Azure AD同步,并且不同步密码。

我的问题有两个:

1)OAuth 2.0授权流程的标准实现是否支持此设置? Azure AD会知道去ADFS进行身份验证吗?

2)是否可以利用Azure AD和OAuth 2.0授权流作为ADFS的IDP代理?

1 个答案:

答案 0 :(得分:1)

  

1)将标准执行OAuth 2.0授权流程   工作支持此设置? Azure AD是否知道去ADFS进行   验证?

是的,只要您使用Azure AD Connect (Federated Identity in this document)使用经过验证的自定义域设置联盟,此方法就很好。我有一个使用OAuth 2.0授权流程的Web应用程序的实时示例(从Web应用程序代码/配置的角度来看,不需要任何特殊的操作)。

流程是,您首先转到Microsoft登录页面>选择工作/学校帐户并指定用户名>您会获得ADFS登录页面>在此处输入凭据后,它就像普通的Azure AD帐户一样继续进行。

  

2)是否可以利用Azure AD和OAuth 2.0授权   流作为ADFS的IDP代理?

以某种方式。尽管它不是交换证书的常规联合身份验证信任设置,但您必须改用AzureAD connect,就像您在(Federated Identity in this document)上面的链接中提到的那样。