SAML ve oıdc/OAuth ile belirteç değişim senaryolarını Microsoft kimlik platformu

SAML ve openıd Bağlan (oıdc)/OAuth, tek Sign-On (SSO) uygulamak için kullanılan yaygın protokollerdir. Bazı uygulamalar yalnızca SAML uygulayabilir ve diğerleri yalnızca OıDC/OAuth uygulayabilir. Her iki protokol de gizli dizileri iletmek için belirteçleri kullanır. SAML hakkında daha fazla bilgi edinmek için bkz. tek Sign-On SAML Protokolü. oıdc/OAuth hakkında daha fazla bilgi için bkz. Microsoft kimlik platformu 'de OAuth 2,0 ve openıd Bağlan protokolleri.

bu makalede, bir uygulamanın SAML uyguladığı ancak oıdc/OAuth kullanan Graph API çağırdığı yaygın bir senaryo özetlenmektedir. Bu senaryoyla çalışan kişiler için temel kılavuz sağlanır.

senaryo: bir SAML belirteciniz var ve Graph API çağırmak istiyorsunuz

SAML ile birçok uygulama uygulanır. ancak, Graph API oıdc/OAuth protokollerini kullanır. Bir SAML uygulamasına OıDC/OAuth işlevselliği eklemek çok basit olmasa da mümkündür. bir uygulamada OAuth işlevselliği kullanılabilir olduğunda Graph API kullanılabilir.

Genel strateji, OıDC/OAuth yığınını uygulamanıza eklemektir. Her iki standardı da uygulayan bir oturum tanımlama bilgisi kullanabilirsiniz. Belirteci açıkça hiç değiş tokuş değilsiniz. Bir oturum tanımlama bilgisi üreten SAML ile ' de bir Kullanıcı oturum açtınız. Graph API bir OAuth akışını istediğinde, kimlik doğrulaması için oturum tanımlama bilgisini kullanırsınız. Bu strateji koşullu erişim denetimlerinin başarılı olduğunu ve kullanıcının yetkilendirildiğini varsayar.

Not

OıDC/OAuth davranışı eklemek için önerilen kitaplık, Microsoft kimlik doğrulama Kitaplığı ' dır (MSAL). MSAL hakkında daha fazla bilgi edinmek için bkz. Microsoft kimlik doğrulama kitaplığı 'Na genel bakış (msal). Önceki kitaplığa Active Directory Authentication Library (ADAL) çağrılmıştı, ancak MSAL bunun yerine kullanılması önerilmez.

Sonraki adımlar