我们正在评估一些选项,以实现应用程序的单个登录,因为我们带来了一些新客户,并且我们一直在努力弄清Azure AD是否可以帮助我们。
该应用具有Web API和一个页面应用程序网站。因此,我们希望通过OAUTH流量保护Web API,并使用Azure AD或Identity Server V3评估作为执行此操作的选项。我们需要连接到SAML身份提供商。(最终,我们希望根据客户登录来支持多个身份提供者,但是有些使用SAML IDP,我们也可能会为本地用户使用Azure B2C,但我不想对此分心)
) )我现在的主要问题:可以使用Azure AD,以便我可以让一些用户对基于SAML的身份提供商进行身份验证,其组织主机?
那么Azure AD可以处理我的Web API的授权吗?我的Web API将使用OWIN中间件来检测承载令牌并将其重定向到Azure,这将重定向到客户身份提供商登录。我认为这曾经是Azure的ACS功能,但更改为Azure Ad伞术语,我不确定它可以做什么。
澄清#1:我不想将Azure AD用作我的身份提供商。我想让它使用OAuth代币流提供我的应用程序,但重定向到一个单独的客户托管身份提供商进行身份验证。因此,我会访问www.contosobikes.com,使用API API.ContoSobikes.com,该com被广告发行的代币确保,但随后我有"注册"的东西,因此用户在id.somecustomer.com上登录,然后重新推动返回。这是我认为我们可以使用Identity Server获得的东西的类型,我正在尝试查看Azure AD是否可以执行此操作。
是。Azure AD Premium具有充当SAML身份提供商的能力。基本(非付费)版本仅允许在所谓的Azure Ad App Gallery中使用预先配置的应用程序列表,这对您无济于事。
这是MS的描述的链接:
您还可以在Azure AD上插入AUTH0等AUTH提供商,以便" SAML-Enable" Azure AD而不升级到高级层。
在您的问题中,您同时提到了Oauth和Saml-这令人困惑。我的理解是两者是互斥的。
azure AD可以与SAML基于IDP的关联。
您可以在此处找到基于支持/测试的SAML IDP的列表:https://www.microsoft.com/en-us/download/details.aspx?id=56843
您还应该能够联合到任何其他基于SAML的IDP,只要您符合要求并遵循本文档中概述的步骤:https://msdn.microsoft.com/en-us/library/azure/dn641269.aspxx
是的,Azure AD可以用作SAML Identity提供商。Azure AD比ADF具有一些新功能,例如用户组已经对您的应用程序进行了消毒,与ADF不同,我们需要从X500杰出名称格式中解析用户组。