Microsoft Identitásplatform saml- és OIDC/OAuth-tokencsere-forgatókönyvek
Az SAML és az OpenID Connect (OIDC) /OAuth az egyszeri bejelentkezés (SSO) implementálásához használt népszerű protokollok. Egyes alkalmazások csak az SAML-t implementálhatják, mások pedig csak az OIDC/OAuth implementálását. Mindkét protokoll jogkivonatokat használ a titkos kódok kommunikálásához. Az SAML-ről további információt az egyszeri bejelentkezéses SAML-protokollban talál. Az OIDC/OAuth protokollról további információt az OAuth 2.0 és az OpenID Connect protokollok Microsoft Identitásplatform.
Ez a cikk egy gyakori forgatókönyvet mutat be, amelyben egy alkalmazás implementálja az SAML-t, de meghívja az OIDC/OAuth-ot használó Graph API-t. Az ebben a forgatókönyvben dolgozó személyek számára alapszintű útmutatást biztosítunk.
Forgatókönyv: SAML-jogkivonattal rendelkezik, és meg szeretné hívni a Graph API-t
Számos alkalmazás implementálva van az SAML-lel. A Graph API azonban az OIDC/OAuth protokollokat használja. Bár nem triviális, de OIDC/OAuth funkciókat adhat hozzá egy SAML-alkalmazáshoz. Ha az OAuth-funkciók elérhetővé válnak egy alkalmazásban, a Graph API használható.
Az általános stratégia az, hogy hozzáadja az OIDC/OAuth vermet az alkalmazáshoz. A mindkét szabványt megvalósító alkalmazással munkamenet-cookie-t használhat. Nem cserél jogkivonatot explicit módon. Bejelentkeztet egy felhasználót az SAML használatával, amely létrehoz egy munkamenet-cookie-t. Amikor a Graph API meghív egy OAuth-folyamatot, a munkamenet-cookie-t használja a hitelesítéshez. Ez a stratégia feltételezi, hogy a feltételes hozzáférés-ellenőrzések sikeresek, és a felhasználó jogosult.
Feljegyzés
Az OIDC/OAuth viselkedés alkalmazásokhoz való hozzáadásához ajánlott kódtár a Microsoft Authentication Library (MSAL).