В качестве поставщика аутентификации/федерации у нас есть Microsoft Active Directory Federation Services (ADFS). Мы используем его для выполнения федерации удостоверений через SAML для нескольких внешних поставщиков, поставщиков SaaS и т. д. Кроме того, у нас есть несколько поставщиков, которые поддерживают только OAuth, поэтому мы настроили интеграцию с этими поставщиками, используя поддержку OAuth ADFS 2016. Таким образом, мы можем генерировать как утверждения SAML, так и токены доступа OAuth по мере необходимости.
Теперь мы столкнулись с ситуацией, когда поставщику A (настроенному для аутентификации SAML) необходимо выполнить вызов службы RESTful поставщику B (настроенному для требования токенов OAuth). Есть ли способ преобразовать утверждение SAML, сгенерированное ADFS, в токен OAuth, сгенерированный ADFS? Учитывая, что оба удостоверения генерируются ADFS, я думаю, что ADFS сможет выполнить преобразование. Есть ли конечная точка, где я могу ОТПРАВИТЬ утверждение SAML и получить взамен токен OAuth? Любая помощь будет ОЧЕНЬ признательна!!
решение1
Хотя я не могу дать вам исчерпывающий ответ по ADFS и Oauth, я могу поделиться с вами некоторым опытом интеграции двух различных веб-систем единого входа, который, возможно, даст вам пищу для размышлений.
В моей ситуации я хотел получить Shibboleth IdP (та же роль, что и ADFS с SAML 2.0), чтобы использовать существующую фирменную систему единого входа.
Я настроил своего IdP на использование «внешней» аутентификации. В этом случае моя собственная система SSO защищала только URL-адрес внешней аутентификации. Таким образом, когда пользователи пытались войти в систему, они переходили на URL-адрес внешней аутентификации и работали через другую систему SSO, а затем возвращались в аутентифицированном состоянии, чтобы пройти по URL-адресу внешней аутентификации к IdP, который затем предоставлял им сеанс.
Это иллюстрирует тот факт, что на самом деле вы не «конвертируете» одну систему в другую, но вы можете повысить уровень одной системы до уровня другой, используя внешнюю аутентификацию.
Предупреждение: выход из системы становится все более проблематичным. Мне пришлось настроить шаблоны SLO, которые идут с IdP, чтобы интегрировать систему выхода из системы с другими системами... ADFS не будет столь гибким.
Привет, Кэмерон.