Microsofts identitetsplattform scenarier för tokenutbyte med SAML och OIDC/OAuth
SAML och OpenID Anslut (OIDC) /OAuth är populära protokoll som används för att implementera enkel inloggning (SSO). Vissa appar kanske bara implementerar SAML och andra kanske bara implementerar OIDC/OAuth. Båda protokollen använder token för att kommunicera hemligheter. Mer information om SAML finns i SAML-protokoll för enkel inloggning. Mer information om OIDC/OAuth finns i OAuth 2.0- och OpenID-Anslut protokoll på Microsofts identitetsplattform.
Den här artikeln beskriver ett vanligt scenario där en app implementerar SAML men anropar Graph API, som använder OIDC/OAuth. Grundläggande vägledning ges för personer som arbetar med det här scenariot.
Scenario: Du har en SAML-token och vill anropa Graph API
Många appar implementeras med SAML. Graph API använder dock OIDC/OAuth-protokollen. Det är möjligt, men inte trivialt, att lägga till OIDC/OAuth-funktioner i en SAML-app. När OAuth-funktioner är tillgängliga i en app kan Graph API användas.
Den allmänna strategin är att lägga till OIDC/OAuth-stacken i din app. Med din app som implementerar båda standarderna kan du använda en sessionscookie. Du utbyter inte en token explicit. Du loggar in en användare med SAML, vilket genererar en sessionscookie. När Graph API anropar ett OAuth-flöde använder du sessionscookien för att autentisera. Den här strategin förutsätter att kontrollerna för villkorsstyrd åtkomst godkänns och att användaren har behörighet.
Kommentar
Det rekommenderade biblioteket för att lägga till OIDC/OAuth-beteende i dina program är Microsoft Authentication Library (MSAL).