ADFS: Преобразовать утверждение SAML в токен OAuth?
У нас есть службы федерации Microsoft Active Directory (ADFS) в качестве нашего поставщика проверки подлинности / федерации. Мы используем его для выполнения федерации удостоверений через SAML с несколькими внешними поставщиками, поставщиками SaaS и т. Д. Кроме того, у нас есть несколько поставщиков, которые поддерживают только OAuth, поэтому мы настроили интеграцию с этими поставщиками, используя поддержку OAuth в ADFS 2016. Таким образом, мы можем генерировать как утверждения SAML, так и токены доступа OAuth, если это необходимо.
Теперь мы столкнулись с ситуацией, когда поставщику A (настроенному для проверки подлинности SAML) необходимо выполнить вызов службы RESTful поставщику B (настроенному на требование токенов OAuth). Есть ли способ преобразовать утверждение SAML, созданное ADFS, в токен OAuth, созданный ADFS? Учитывая, что обе учетные данные генерируются ADFS, я бы подумал, что ADFS сможет выполнить преобразование. Есть ли конечная точка, где я могу POST-подтверждение SAML и получить взамен токен OAuth? Приветствуем любую помощь!
Хотя я не могу дать вам и ответить по поводу ADFS и Oauth, я могу дать вам некоторый опыт в отношении интеграции двух различных систем единого входа на базе Интернета, что может дать вам повод задуматься. .
В моей ситуации я хотел получить Shibboleth IdP (ту же роль, что и ADFS с SAML 2.0), чтобы использовать существующую проприатарную систему SSO.
Я настроил своего IdP для использования «внешняя» аутентификация, и в этом случае у меня была проприетарная система SSO, защищающая только URL внешней аутентификации; чтобы при входе в систему люди попадали по URL-адресу external-auth --- и работали через другую систему SSO --- затем возвращались в состоянии аутентификации, чтобы пройти через URL-адрес external-auth к IdP, который затем предоставит им сеанс.
Это показывает, что на самом деле вы не «конвертируете» одну систему в другую, но вы можете преобразовать одну систему в другую, используя внешнюю аутентификацию.
Предупреждение: выход из системы становится больше проблема. Мне пришлось настроить шаблоны SLO, которые поставляются с IdP, чтобы интегрировать и другие системы выхода из системы ... ADFS не будет такой гибкой.
Ура, Кэмерон