AD FS 2016可以信任Azure AD颁发的OAuth2访问令牌吗?

时间:2019-07-18 18:17:22

标签: azure-active-directory azure-ad-b2c azure-ad-b2b adfs4.0

是否可以将AD FS 2016配置为信任Azure AD发出的OAuth2访问令牌?如果AD FS 2016无法信任Azure AD,那么它可以信任Azure AD B2C和/或Azure AD B2B吗?

这是场景:

  1. 客户端获取由Azure AD发出的OAuth2访问令牌以调用API-1。
  2. API-1代表流向AD FS 2016请求API-2的新令牌。
  3. AD FS 2016发行新的访问令牌(因为它信任由Azure AD发行的令牌)。
  4. API-1调用API-2发送由AD FS发出的令牌。

我知道可以通过使用SAML创建声明提供者信任来将AD FS 2016配置为信任联合伙伴组织,但是我不知道的两件事是1)声明提供者信任与OAuth2访问令牌一起工作,以及2)声明提供者信任是否在Azure AD和AD FS之间起作用。

1 个答案:

答案 0 :(得分:0)

您绝对可以在ADFS中将AAD定义为声明提供程序。当AAD只能发行SAML2.0令牌并且需要1.1(例如对于SP201x)时,通常会这样做。我不知道ADFS是否将使用该定义来信任AAD的JWT令牌。应该足够简单才能尝试。