Scénáře výměny tokenů platformy Microsoft Identity Platform s využitím SAML a OIDC/OAuth
SAML a OpenID Připojení (OIDC) / OAuth jsou oblíbené protokoly používané k implementaci jednotného přihlašování (SSO). Některé aplikace můžou implementovat jenom SAML a jiné můžou implementovat jenom OIDC/OAuth. Oba protokoly používají tokeny ke komunikaci tajných kódů. Další informace o SAML najdete v tématu protokol SAML s jednotným přihlašováním. Další informace o protokolech OIDC/OAuth najdete v tématu OAuth 2.0 a protokoly OpenID Připojení na platformě Microsoft Identity Platform.
Tento článek popisuje běžný scénář, kdy aplikace implementuje SAML, ale volá rozhraní Graph API, které používá OIDC/OAuth. Pro lidi pracující s tímto scénářem jsou k dispozici základní pokyny.
Scénář: Máte token SAML a chcete volat rozhraní Graph API.
Mnoho aplikací se implementuje pomocí SAML. Rozhraní Graph API ale používá protokoly OIDC/OAuth. Je sice možné, i když není triviální, přidat do aplikace SAML funkci OIDC/OAuth. Jakmile je funkce OAuth dostupná v aplikaci, můžete použít rozhraní Graph API.
Obecnou strategií je přidání zásobníku OIDC/OAuth do vaší aplikace. S aplikací, která implementuje oba standardy, můžete použít soubor cookie relace. Token si explicitně neměňujete. Přihlašujete uživatele pomocí SAML, který generuje soubor cookie relace. Když rozhraní Graph API vyvolá tok OAuth, použijete k ověření soubor cookie relace. Tato strategie předpokládá úspěšné kontroly podmíněného přístupu a uživatel má oprávnění.
Poznámka:
Doporučená knihovna pro přidání chování OIDC/OAuth do vašich aplikací je knihovna MSAL (Microsoft Authentication Library).