带有 Azure AD 的 Office 365 - 我可以从外部允许另一个第三方 SAML 应用程序进行 SSO 吗?

带有 Azure AD 的 Office 365 - 我可以从外部允许另一个第三方 SAML 应用程序进行 SSO 吗?

我在这里有点盲目,因为我不是 Azure 专家,而且除了 O365 和 DirSync 之外还没有真正接触过它。

我们有一个用 Ruby on Rails 编写的第三方应用程序,他们说该应用程序将在下一版本中支持 SAML,并且可以通过与 Azure AD 同步来实现 SSO。他们的云应用程序托管在 Azure 上。第三方尚未告诉我们具体怎么做。他们说他们将把它发布为 Windows 应用程序。我在 Azure 中看到类似“从库中添加应用程序”的内容...这是我要找的吗?

我的问题是,如果此第三方应用程序托管在 Azure 中,那么 Office 365 附带的现有 Azure AD 是否允许对其进行这样的 SSO 设置?如果可以,有任何链接或信息可以做到这一点吗?我最终搜索的所有内容最终都让我回到 DirSync 或类似的东西,我知道这不是我要找的 DirSync。

这就是我在下面的 Azure AD 门户中所追求的吗?

在此处输入图片描述

答案1

您的自定义应用程序必须按照此流程在 Azure AD 中注册为自定义应用程序在线指南。有几个选项可以集成您的自定义应用程序 - 您可以基于密码或基于联合。

如果你的应用支持基于 SAML 的身份验证,那么你可以使用基于联合的身份验证,这在上面的指南中没有介绍,但有一些MSDN 上的更多详细信息在一个几个地方

请注意,您必须订阅基本或高级 Azure AD 层才能访问此功能。

答案2

这是两个协议的故事,Office365 支持快速配置支持 OpenIDConnect 协议的应用程序,您很可能使用某些受信任的身份提供商提供的 OpenID 登录此站点:(您应该能够使用您的 O365 提供的 OpenID 在此登录) 在此处输入图片描述

SAML 2.0 是 Web SSO 的更完整实现,但使用 SOAP/XML - 而 OpenIDConnect 用户 RESTful/JSON 和服务提供商/资源服务器(应用程序)可以动态注册,但您要寻找的许多其他功能将“超出范围”

AzureAD SAML 身份提供者不是该协议的完整实现,它不支持 eduperson 模式,也不会从 URL(例如从联合)下载元数据。

微软是 OpenID 基金会的成员,此外还有许多其他商业既得利益者,如谷歌、Facebook、Paypal 或任何具有“您的所有用户都属于我们”心态的人,因此他们自然会削弱 Azure AD 执行任何有用的功能,除了支持基本功能之外 - 想要授予一组用户从门户网站访问某些应用程序的权限? - 这是 Azure AD premium! - 顺便说一句,门户网站只是一个支持 OpenID 登录的应用程序的拼凑列表 - SF 也可能列在那里,它没有任何意义,只是一堆华而不实的东西,他们还列出了支持 SAML 协议的应用程序,这些应用程序需要对 Azure AD 进行一些配置,以及对相关应用程序进行一些配置 - 因此,除了让您知道“此应用程序支持 SAML”之外,列出这些应用程序(在华而不实的门户网站中)实际上毫无意义。 Azure AD 还将支持身份验证代理,如果应用程序不支持 SSO 协议,则可以将其配置为一次性身份验证,然后记住凭据,因此它也会暴露这些残酷的黑客行为。 AzureAD 和 Office365 酷助手的有趣之处在于,这一切都始于 DirSync - 这些协议被发明出来是为了解决的非常邪恶的问题 - 这里有我所有的用户吗? - 所以在这方面,AzureAD 全是皮大衣,没有内裤。

您可以在域上运行所有这些,使用 Shibboleth 完整实现 SAML,或使用 SAML 和 OpenIDConnect 捆绑 SSO 协议栈(例如 gluu)https://www.gluu.org/gluu-server/overview/它没有缺陷,是免费的,而且你不必将所有用户交给有目的的第三方。我并不推荐上述任何一种做法 - 我只是让你知道你不需要 AzureAD,而且你越参与身份联合,它就会成为越大的障碍,没有社区志愿者努力提供的 2 个协议的“高级功能”。

相关内容