Scenario's voor tokenuitwisseling via Microsoft Identity-platform met SAML en OIDC/OAuth
SAML en OpenID Connect (OIDC) / OAuth zijn populaire protocollen die worden gebruikt voor het implementeren van eenmalige aanmelding (SSO). Sommige apps implementeren mogelijk alleen SAML en anderen implementeren mogelijk alleen OIDC/OAuth. Beide protocollen gebruiken tokens om geheimen te communiceren. Zie het SAML-protocol voor eenmalige aanmelding voor meer informatie over SAML. Zie OAuth 2.0- en OpenID Connect-protocollen op Microsoft Identity-platform voor meer informatie over OIDC/OAuth.
In dit artikel wordt een algemeen scenario beschreven waarin een app SAML implementeert, maar de Graph API aanroept, die gebruikmaakt van OIDC/OAuth. Er worden basisrichtlijnen geboden voor personen die met dit scenario werken.
Scenario: u hebt een SAML-token en wilt de Graph API aanroepen
Veel apps worden geïmplementeerd met SAML. De Graph API maakt echter gebruik van de OIDC/OAuth-protocollen. Het is wel mogelijk om OIDC/OAuth-functionaliteit toe te voegen aan een SAML-app. Zodra de OAuth-functionaliteit beschikbaar is in een app, kan de Graph API worden gebruikt.
De algemene strategie is het toevoegen van de OIDC/OAuth-stack aan uw app. Met uw app die beide standaarden implementeert, kunt u een sessiecookie gebruiken. U wisselt geen token expliciet uit. U meldt een gebruiker aan met SAML, waarmee een sessiecookie wordt gegenereerd. Wanneer de Graph API een OAuth-stroom aanroept, gebruikt u de sessiecookie om te verifiëren. Bij deze strategie wordt ervan uitgegaan dat de controles voor voorwaardelijke toegang zijn geslaagd en dat de gebruiker is geautoriseerd.
Notitie
De aanbevolen bibliotheek voor het toevoegen van OIDC/OAuth-gedrag aan uw toepassingen is de Microsoft Authentication Library (MSAL).