我必须先声明自己不是Microsoft AD,Azure AD和Office 365的专家。我已经阅读了许多Microsoft文档,支持和Stackoverflow帖子,但无法找到针对此特定问题的答案问题。
我有一个Web应用程序,该应用程序为用户提供了“使用Office365登录”选项。这是使用Microsoft's ADAL library和OAuth 2.0 authorization flow来实现的。
我有一个同时使用ADFS和Azure Active Directory的客户(Federated Identity in this document)。他们将用户的登录与AD FS联合,后者将身份验证委派给内部部署服务器,该服务器验证用户凭据,从而允许其用户访问Office365和其他云服务。
他们的本地AD与Azure AD同步,并且不同步密码。
我的问题有两个:
1)OAuth 2.0授权流程的标准实现是否支持此设置? Azure AD会知道去ADFS进行身份验证吗?
2)是否可以利用Azure AD和OAuth 2.0授权流作为ADFS的IDP代理?
答案 0 :(得分:1)
1)将标准执行OAuth 2.0授权流程 工作支持此设置? Azure AD是否知道去ADFS进行 验证?
是的,只要您使用Azure AD Connect (Federated Identity in this document)使用经过验证的自定义域设置联盟,此方法就很好。我有一个使用OAuth 2.0授权流程的Web应用程序的实时示例(从Web应用程序代码/配置的角度来看,不需要任何特殊的操作)。
流程是,您首先转到Microsoft登录页面>选择工作/学校帐户并指定用户名>您会获得ADFS登录页面>在此处输入凭据后,它就像普通的Azure AD帐户一样继续进行。
2)是否可以利用Azure AD和OAuth 2.0授权 流作为ADFS的IDP代理?
以某种方式。尽管它不是交换证书的常规联合身份验证信任设置,但您必须改用AzureAD connect,就像您在(Federated Identity in this document)上面的链接中提到的那样。