Skenario pertukaran token platform identitas Microsoft dengan SAML dan OIDC/OAuth

SAML dan OpenID Connect (OIDC)/OAuth adalah protokol populer yang digunakan untuk menerapkan Single Sign-On (SSO). Beberapa aplikasi mungkin hanya mengimplementasikan SAML dan yang lain mungkin hanya mengimplementasikan OIDC/OAuth. Kedua protokol menggunakan token untuk mengomunikasikan rahasia. Untuk mempelajari selengkapnya tentang SAML, lihat Protokol SAML Single Sign-On. Untuk mempelajari selengkapnya tentang OIDC/OAuth, lihat protokol OAuth 2.0 dan OpenID Connect pada platform identitas Microsoft.

Artikel ini menjabarkan skenario umum ketika aplikasi mengimplementasikan SAML tetapi memanggil Graph API, yang menggunakan OIDC/OAuth. Panduan dasar disediakan untuk orang yang bekerja dengan skenario ini.

Skenario: Anda memiliki token SAML dan ingin memanggil Graph API

Banyak aplikasi yang diimplementasikan dengan SAML. Namun, Graph API menggunakan protokol OIDC/OAuth. Ini dimungkinkan, meskipun tidak sepele, untuk menambah fungsionalitas OIDC/OAuth ke aplikasi SAML. Setelah fungsionalitas OAuth tersedia di aplikasi, Graph API dapat digunakan.

Strategi umumnya adalah menambah stack OIDC/OAuth ke aplikasi Anda. Dengan aplikasi yang menerapkan kedua standar, Anda dapat menggunakan cookie sesi. Anda tidak bertukar token secara eksplisit. Anda masuk ke pengguna dengan SAML, yang menghasilkan cookie sesi. Saat Graph API memanggil alur OAuth, Anda menggunakan cookie sesi untuk mengautentikasi. Strategi ini mengasumsikan pass pemeriksaan Akses Bersyarat dan pengguna berwenang.

Catatan

Pustaka yang direkomendasikan untuk menambahkan perilaku OIDC/OAuth adalah Microsoft Authentication Library (MSAL). Untuk mempelajari selengkapnya tentang MSAL, lihat Gambaran Microsoft Authentication Library (MSAL). Pustaka sebelumnya disebut Active Directory Authentication Library (ADAL), namun tidak disarankan karena MSAL menggantinya.

Langkah berikutnya