【发布时间】:2019-06-03 09:21:16
【问题描述】:
使用 Azure AD,我有一个 .NET Core Web API 控制器,它使用 OAuth2 对用户进行了身份验证,并且我有一个 JWT 持有者令牌和一个声明主体。
是否有任何方法可以使用其中任何一种来生成 SAML 令牌,以便我可以代表该用户调用另一个仅支持 SAML 的 API?
【问题讨论】:
标签: c# asp.net-core oauth-2.0 saml-2.0
【发布时间】:2019-06-03 09:21:16
【问题描述】:
是的,这是 Azure AD v.1 终结点可能且受支持的方案。
支持作为 OAuth2 框架中的代表授权流程的非标准扩展。有关 Azure AD v.1 端点具体实现的更多详细信息是 documented here。
当然,您的 OIDC 应用程序必须至少被授予对 SAML 集成应用程序/api 的“user_impersonation”权限,才能使 On-Behalf-Of 流程正常工作。
从 v.1 端点几乎一开始就支持这一点。
【讨论】: