Wir verwenden Microsoft Active Directory Federation Services (ADFS) als unseren Authentifizierungs-/Föderationsanbieter. Wir verwenden es, um Identitätsföderation über SAML mit mehreren externen Anbietern, SaaS-Anbietern usw. durchzuführen. Darüber hinaus haben wir mehrere Anbieter, die nur OAuth unterstützen. Daher haben wir Integrationen mit diesen Anbietern konfiguriert, die die OAuth-Unterstützung von ADFS 2016 verwenden. Auf diese Weise können wir je nach Bedarf sowohl SAML-Assertionen als auch OAuth-Zugriffstoken generieren.
Jetzt sind wir in eine Situation geraten, in der Anbieter A (konfiguriert für SAML-Authentifizierung) einen RESTful-Serviceaufruf an Anbieter B (konfiguriert für die Anforderung von OAuth-Tokens) durchführen muss. Gibt es eine Möglichkeit, eine von ADFS generierte SAML-Assertion in ein von ADFS generiertes OAuth-Token umzuwandeln? Da beide Anmeldeinformationen von ADFS generiert werden, würde ich denken, dass ADFS eine Möglichkeit hätte, die Konvertierung durchzuführen. Gibt es einen Endpunkt, an dem ich eine SAML-Assertion POSTEN und im Gegenzug das OAuth-Token zurückerhalten kann? Jede Hilfe wäre SEHR willkommen!!
Antwort1
Obwohl ich Ihnen keine Antwort zu ADFS und Oauth geben kann, kann ich Ihnen einige Erfahrungen mit der Integration zweier unterschiedlicher webbasierter SSO-Systeme mitteilen, die Ihnen vielleicht Denkanstöße geben.
In meiner Situation wollte ich einen Shibboleth-IdP (dieselbe Rolle wie ADFS mit SAML 2.0) erhalten, um ein vorhandenes proprietäres SSO-System nutzen zu können.
Ich habe meinen IdP so konfiguriert, dass er eine „externe“ Authentifizierung verwendet. In diesem Fall habe ich das proprietäre SSO-System so eingestellt, dass es nur die externe Authentifizierungs-URL schützt. Wenn sich die Benutzer also anmelden wollten, riefen sie die externe Authentifizierungs-URL auf – und arbeiteten über das andere SSO-System. Anschließend kamen sie in einem authentifizierten Zustand zurück, um über die externe Authentifizierungs-URL zum IdP zu gelangen, der ihnen dann eine Sitzung gewährte.
Dies veranschaulicht, dass Sie ein System nicht wirklich in das andere „konvertieren“, sondern mithilfe einer externen Authentifizierung ein System auf das andere übertragen können.
Ein Wort der Warnung: Das Abmelden wird immer problematischer. Ich musste die mit dem IdP gelieferten SLO-Vorlagen anpassen, um auch das Abmeldesystem der anderen Systeme zu integrieren. ADFS wird nicht so flexibel sein.
Grüße, Cameron