Scenari di scambio di token di Microsoft Identity Platform con SAML e OIDC/OAuth
SAML e OpenID Connessione (OIDC) / OAuth sono protocolli comuni usati per implementare l'accesso Single Sign-On (SSO). Alcune app potrebbero implementare solo SAML e altre potrebbero implementare solo OIDC/OAuth. Entrambi i protocolli usano token per comunicare i segreti. Per altre informazioni su SAML, vedere Protocollo SAML Single Sign-On. Per altre informazioni su OIDC/OAuth, vedere Protocolli OAuth 2.0 e OpenID Connessione in Microsoft Identity Platform.
Questo articolo descrive uno scenario comune in cui un'app implementa SAML, ma chiama l'API Graph, che usa OIDC/OAuth. Vengono fornite indicazioni di base per gli utenti che lavorano con questo scenario.
Scenario: si ha un token SAML e si vuole chiamare l'API Graph
Molte app vengono implementate con SAML. Tuttavia, l'API Graph usa i protocolli OIDC/OAuth. È possibile, anche se non semplice, aggiungere funzionalità OIDC/OAuth a un'app SAML. Quando la funzionalità OAuth è disponibile in un'app, è possibile usare l'API Graph.
La strategia generale consiste nell'aggiungere lo stack OIDC/OAuth all'app. Con la tua app che implementa entrambi gli standard puoi usare un cookie di sessione. Non si sta scambiando un token in modo esplicito. Si sta registrando un utente in con SAML, che genera un cookie di sessione. Quando l'API Graph richiama un flusso OAuth, usare il cookie di sessione per l'autenticazione. Questa strategia presuppone che i controlli di accesso condizionale vengano superati e che l'utente sia autorizzato.
Nota
La libreria consigliata per aggiungere il comportamento OIDC/OAuth alle applicazioni è Microsoft Authentication Library (MSAL).