我真的很纠结于这些Azure AD概念。我的情况是这样的。我有一个属于公司的用户网络应用程序。我有一个要求,就是能够通过他们公司的Azure AD对这些用户进行身份验证。最终,我们希望将来在Azure应用程序库中提供此功能。
我开始通过App Registration注册应用程序,这给了我使用OIDC进行集成的信息。我们希望同时支持OIDC和SAML协议(我看到图库中有同时提供这两种协议的应用程序)。
我测试了OIDC,它工作正常,但是当我想开发SAML集成时,文档说它必须使用enterprise application来完成。我无法编辑由我的注册生成的企业应用程序的SSO部分:
在企业应用程序体验中,单点登录配置不可用于此应用程序。我的应用程序是使用应用程序注册经验创建的。
所以我测试创建一个新的企业应用程序。使用这个应用程序,我可以正确地做所有的SAML流。
我的问题是:
- 我必须连接
registrated app和enterprise app吗?怎么做呢? - 为什么我无法在企业生成的app中编辑SSO信息?
- 如果是通过注册应用程序完成的。我在哪里设置SAML端点,证书等?
通过阅读文档,我了解到企业应用程序就像"一个注册应用程序的实例"。这让我认为我应该在注册的应用程序中配置所有,但我看不出如何支持SAML。
正如@Srinath Menon在上面的回答中提到的,如果应用程序是使用App注册注册的,那么单点登录功能默认配置为使用OIDC OAuth。在这种情况下,单点登录选项不会显示,对于企业应用程序,我们有一个选项。
在这两种方式中,应用程序都在AAD中注册,并且一旦应用程序注册完成,就会创建两种类型的对象。
应用程序对象是你在AAD的应用程序注册下看到的。应用程序对象描述了应用程序的三个方面:服务如何发出令牌来访问应用程序、应用程序可能需要访问的资源以及应用程序可以采取的操作。。App Registration基本上是租户/组织本地的App。
服务主体对象是您在AAD的企业注册刀片下看到的内容。每个应用对象将在AAD的企业注册刀片中创建一个相应的服务主体对象。在使用应用程序的每个租户中创建服务主体,并引用全局唯一的应用程序对象。企业应用刀片显示可以在您的租户/组织中配置和使用的全局应用(其他租户)。
参考
为应用程序设置基于saml的单点登录
-
不,没有特别的原因连接两个应用程序
-
这样做的原因是默认的"App Registration"是为OIDC公司准备的。https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/configure-saml-single-sign-on
-
这需要从企业应用程序中完成任何与SAML相关的功能。