我們使用 Microsoft Active Directory 聯合驗證服務 (ADFS) 作為我們的驗證/聯合驗證提供者。我們使用它透過 SAML 與多個外部供應商、SaaS 提供者等執行身分聯合。因此,我們能夠根據需要產生 SAML 斷言和 OAuth 存取權杖。
現在我們遇到這樣的情況:供應商 A(配置為 SAML 驗證)需要向供應商 B(配置為需要 OAuth 令牌)進行 RESTful 服務呼叫。有沒有辦法將 ADFS 產生的 SAML 斷言轉換為 ADFS 產生的 OAuth 令牌?鑑於這兩個憑證都是由 ADFS 產生的,我認為 ADFS 會有一種執行轉換的方法。是否有一個端點可以讓我發布 SAML 斷言並取回 OAuth 令牌?任何幫助將不勝感激!
答案1
雖然我無法為您提供 ADFS 和 Oauth 的答案,但我可以為您提供一些有關整合兩個不同的基於 Web 的 SSO 系統的經驗,這可能會給您一些思考的機會。
在我的情況下,我希望獲得 Shibboleth IdP(與具有 SAML 2.0 的 ADFS 相同的角色)來利用現有的專有 SSO 系統。
我所做的是將我的 IdP 設定為使用「外部」身份驗證,在這種情況下,我讓專有的 SSO 系統僅保護外部身份驗證 URL;這樣,當人們登入時,他們會點擊外部身份驗證 URL --- 並透過其他 SSO 系統工作 --- 然後以經過身份驗證的狀態返回,透過外部身份驗證 URL 到達 IdP,這然後會給他們一個會話。
這說明您並沒有真正將一個系統「轉換」到另一個系統,但您可以使用外部身份驗證將一個系統提升到另一個系統。
警告一句:註銷變得更加成為一個問題。我必須自訂 IdP 附帶的 SLO 範本來整合其他系統登出系統...ADFS 不會那麼靈活。
乾杯,卡梅倫