使用Azure AD,我有一个.NET Core Web API控制器,该控制器已使用OAuth2对用户进行身份验证,并且具有JWT Bearer令牌和Claims Principal。
是否可以使用这两种方法生成SAML令牌,以便我可以代表该用户调用仅支持SAML的另一个API?
答案 0 :(得分:0)
答案 1 :(得分:0)
是的,Azure AD v.1终结点可以实现并且支持这种情况。
此功能作为OAuth2框架中的On-Behalf-Of授权流程的非标准扩展而受支持。有关Azure AD v.1终结点的具体实现的更多详细信息,是documented here。
当然,您的OIDC应用程序必须至少被授予SAML集成应用程序/ api的“ user_impersonation”权限,以便代理流程正常工作。
从v.1端点开始几乎就一直支持这一点。