Escenarios de intercambio de tokens de la plataforma de identidad de Microsoft con SAML y OIDC/OAuth
SAML y OpenID Connect (OIDC)/OAuth son protocolos conocidos que se usan para implementar el inicio de sesión único (SSO). Algunas aplicaciones solo pueden implementar SAML y otras solo pueden implementar OIDC/OAuth. Ambos protocolos emplean tokens para comunicar secretos. Para más información sobre SAML, consulte Protocolo SAML de inicio de sesión único. Para más información sobre OIDC/OAuth, consulte Protocolos OAuth 2.0 y OpenID Connect en la plataforma de identidad de Microsoft.
En este artículo se describe un escenario común en el que una aplicación implementa SAML, pero llama a Graph API, que usa OIDC/OAuth. Se proporcionan instrucciones básicas para las personas que trabajan con este escenario.
Escenario: Tiene un token SAML y quiere llamar a Graph API.
Muchas aplicaciones se implementan con SAML. Sin embargo, Graph API emplea los protocolos OIDC/OAuth. Es posible, aunque no resulta sencillo, agregar la funcionalidad OIDC/OAuth a una aplicación de SAML. Una vez que la funcionalidad OAuth está disponible en una aplicación, se puede usar Graph API.
La estrategia general consiste en agregar la pila OIDC/OAuth a la aplicación. Con la aplicación que implementa ambos estándares, puede usar una cookie de sesión. No intercambia un token explícitamente. Registra un usuario con SAML, lo que genera una cookie de sesión. Cuando Graph API invoca un flujo de OAuth, se usa la cookie de sesión para autenticarse. En esta estrategia se da por hecho que se han superado las comprobaciones de acceso condicional y que el usuario está autorizado.
Nota
La biblioteca recomendada para agregar el comportamiento de OIDC/OAuth a sus aplicaciones es la biblioteca de autenticación de Microsoft (MSAL).