Microsofts identitetsplattform tokenutbytesscenarier med SAML och OIDC/OAuth

SAML och OpenID Anslut (OIDC) /OAuth är populära protokoll som används för att implementera enkel inloggning Sign-On (SSO). Vissa appar kanske bara implementerar SAML och andra kanske bara implementerar OIDC/OAuth. Båda protokollen använder token för att kommunicera hemligheter. Mer information om SAML finns i Enkel Sign-On SAML-protokoll. Mer information om OIDC/OAuth finns i OAuth 2.0- och OpenID-Anslut på Microsofts identitetsplattform.

Den här artikeln beskriver ett vanligt scenario där en app implementerar SAML men anropar Graph API, som använder OIDC/OAuth. Grundläggande vägledning ges för personer som arbetar med det här scenariot.

Scenario: Du har en SAML-token och vill anropa GRAPH-API:et

Många appar implementeras med SAML. Dock använder Graph-API:et OIDC/OAuth-protokollen. Det är möjligt, men inte trivialt, att lägga till OIDC/OAuth-funktioner i en SAML-app. När OAuth-funktionen är tillgänglig i en app Graph API:et användas.

Den allmänna strategin är att lägga till OIDC/OAuth-stacken i din app. Med din app som implementerar båda standarderna kan du använda en sessionscookie. Du utbyter inte en token uttryckligen. Du loggar in en användare med SAML, som genererar en sessionscookie. När Graph-API:et anropar ett OAuth-flöde använder du sessionscookie för att autentisera. Den här strategin förutsätter att kontrollerna av villkorsstyrd åtkomst godkänns och att användaren har behörighet.

Anteckning

Det rekommenderade biblioteket för att lägga till OIDC/OAuth-beteende är Microsoft Authentication Library (MSAL). Mer information om MSAL finns i Översikt över Microsoft Authentication Library (MSAL). Det tidigare biblioteket hette Active Directory-autentiseringsbibliotek (ADAL), men det rekommenderas inte eftersom MSAL ersätter det.

Nästa steg