Podpora Active Directory Federation Services (AD FS) v MSAL pro Java

Active Directory Federation Services (AD FS) (AD FS) na serveru Windows Server umožňuje přidat ověřování a autorizaci na základě OpenID Připojení a OAuth 2,0 do knihovny Microsoft authentication Library for java (MSAL for java). Po integraci aplikace může ověřit uživatele v AD FS federované prostřednictvím služby Azure AD. Další informace o scénářích najdete v tématu AD FSch scénářů pro vývojáře.

aplikace, která používá MSAL pro Java, bude komunikovat s Azure Active Directory (Azure AD), která pak federuje na AD FS.

MSAL for Java se připojuje ke službě Azure AD, která přihlašuje uživatele spravované v Azure AD (spravované uživatele) nebo uživatele spravované jiným poskytovatelem identity, jako je AD FS (federované uživatele). MSAL for Java neví, že je uživatel federovaný. Jednoduše mluví s Azure AD.

Autorita , kterou použijete v tomto případě, je obvyklá autorita (název hostitele autority + tenant, Common nebo organizace).

Interaktivní získání tokenu pro federovaného uživatele

Když zavoláte ConfidentialClientApplication.AcquireToken() nebo PublicClientApplication.AcquireToken() s AuthorizationCodeParameters nebo DeviceCodeParameters , uživatelské prostředí je obvykle:

  1. Uživatel zadá své ID účtu.
  2. Azure AD krátce zobrazuje "přebírá vás na stránku vaší organizace" a uživatel se přesměruje na přihlašovací stránku zprostředkovatele identity. Přihlašovací stránka se obvykle přizpůsobí s logem organizace.

Podporované verze AD FS v tomto federovaném scénáři jsou:

  • Active Directory Federation Services (AD FS) FS v2
  • Active Directory Federation Services (AD FS) v3 (Windows Server 2012 R2)
  • Active Directory Federation Services (AD FS) v4 (AD FS 2016)

Získání tokenu prostřednictvím uživatelského jména a hesla

Když získáte token pomocí nebo ConfidentialClientApplication.AcquireToken() PublicClientApplication.AcquireToken() s IntegratedWindowsAuthenticationParameters nebo UsernamePasswordParameters , MSAL pro jazyk Java získá poskytovatele identity, aby kontaktoval na základě uživatelského jména. MSAL for Java získá token tokenu SAML 1,1 od poskytovatele identity, který potom poskytne službě Azure AD, která vrací JSON web token (Jwt).

Další kroky

v případě federovaného případu si přečtěte téma konfigurace chování přihlášení Azure Active Directory pro aplikaci pomocí zásad zjišťování domovské sféry .