使用 SAML 和 OIDC/OAuth Microsoft 身分識別平台 令牌交換案例
SAML 和 OpenID 連線 (OIDC) /OAuth 是用來實作單一登錄 (SSO) 的熱門通訊協定。 某些應用程式可能只實作 SAML,而其他應用程式可能只實作 OIDC/OAuth。 這兩種通訊協議都會使用令牌來傳達秘密。 若要深入瞭解 SAML,請參閱 單一登錄 SAML 通訊協定。 若要深入瞭解 OIDC/OAuth,請參閱 Microsoft 身分識別平台 上的 OAuth 2.0 和 OpenID 連線 通訊協定。
本文概述應用程式實作 SAML 但呼叫使用 OIDC/OAuth 的圖形 API 的常見案例。 針對使用此案例的人員提供基本指引。
案例:您有 SAML 令牌,且想要呼叫圖形 API
許多應用程式都是使用SAML實作。 不過,圖形 API 會使用 OIDC/OAuth 通訊協定。 將 OIDC/OAuth 功能新增至 SAML 應用程式,雖然並非微不足道。 在應用程式中提供 OAuth 功能之後,就可以使用圖形 API。
一般策略是將 OIDC/OAuth 堆疊新增至您的應用程式。 透過實作這兩個標準的應用程式,您可以使用會話 Cookie。 您不會明確交換令牌。 您要使用 SAML 登入使用者,這會產生會話 Cookie。 當圖形 API 叫用 OAuth 流程時,您可以使用工作階段 Cookie 進行驗證。 此策略假設條件式存取檢查通過,且使用者已獲得授權。
注意
將 OIDC/OAuth 行為新增至應用程式的建議連結庫是 Microsoft 驗證連結庫 (MSAL) 。