ADFS: преобразовать утверждение SAML в маркер OAuth?

Question

ADFS: преобразовать утверждение SAML в маркер OAuth?

У нас есть службы федерации Microsoft Active Directory (ADFS) в качестве поставщика проверки подлинности / федерации. Мы используем его для выполнения федерации удостоверений через SAML нескольким внешним поставщикам, поставщикам SaaS и т. Д. Кроме того, у нас есть несколько поставщиков, которые поддерживают только OAuth, поэтому мы настроили интеграцию с этими поставщиками, использующими поддержку OAuth в ADFS 2016. Таким образом, мы можем генерировать как утверждения SAML, так и маркеры доступа OAuth, если это необходимо.

Теперь мы столкнулись с ситуацией, когда Поставщику A (настроенному для проверки подлинности SAML) необходимо выполнить RESTful-вызов службы Поставщику B (настроенному на использование маркеров OAuth). Есть ли способ преобразовать сгенерированное ADFS утверждение SAML в сгенерированный ADFS токен OAuth? Учитывая, что обе учетные данные генерируются ADFS, я думаю, что ADFS будет иметь способ выполнить преобразование. Есть ли конечная точка, где я могу ПОСТАВИТЬ утверждение SAML и получить взамен токен OAuth? Любая помощь будет с благодарностью!

3

authentication adfs saml oauth token

Источник

Shadowman 08 мар '18 в 19:38

1 ответ

Другие вопросы по тегам authentication adfs saml oauth token

Cameron Kerr 12 мар '18 в 19:12 2018-03-12 19:12 · Answer 1 · 2018-03-12 19:12

Хотя я не могу дать вам ответ на вопросы ADFS и Oauth, я могу дать вам некоторый опыт в отношении интеграции двух разных систем единого входа на основе веб-технологий, что может дать вам повод задуматься.

В моей ситуации я хотел получить Shibboleth IdP (ту же роль, что и ADFS с SAML 2.0), чтобы использовать существующую частную систему единого входа.

Я настроил свой IdP на использование "внешней" аутентификации, и в этом случае у меня была проприетарная система единого входа, защищающая только внешний URL -адрес аутентификации; так что, когда люди заходили в систему, они нажимали URL -адрес external-auth - и работали через другую систему SSO - затем возвращались в аутентифицированное состояние, чтобы пройти через URL -адрес external-auth к IdP, который затем предоставит им сеанс.

Это показывает, что вы действительно не "конвертируете" одну систему в другую, но вы можете перевести одну из них в другую с помощью внешней аутентификации.

Слово предупреждения: выход из системы становится все более серьезной проблемой. Мне пришлось настроить шаблоны SLO, которые поставляются вместе с IdP, чтобы интегрировать систему выхода из других систем тоже... ADFS не будет такой гибкой.

Ура, Кэмерон