在 Office 365 中使用第三方身份提供商

Question

我们目前正在使用内部 SSO 解决方案，使用 2 因素身份验证，生成 SAML 以允许 SSO 到 Google 应用程序和销售人员。我们正在寻求支持 Office 365。

我正在查看 Office 365 的所有文档，据我所知，它使用 SAML，但前提是由 ADFS 提供。

是否可以将 Office 365 与纯 SAML 解决方案一起使用？ 或者是否可以将 ADFS 与另一个身份提供者（而不是 Active Directory）一起使用。

我看到了一个带有 Tivoli IP 的示例，但我不太了解角色，如果我全部理解正确，它实际上会将实际身份验证从 ADFS 推迟到 Tivoli，但这是正确的吗？如果这是真的，那就太好了:)

除此之外，从我的 google-expedition 中，我可以看到以下选项来使用我们自己的 SSO 解决方案和 Office 365：

1. 从 ADFS (aspx) 调整登录页面并在那里添加我们的 2fa 解决方案。 (source)
2. 使用 Forefront UAG，但不确定具体是什么意思 (source)
3. 使用伪装成 ADFS 的服务（source -- 在 cmets 中）
4. 使用 SAML 联合身份验证（如果我理解正确的话）(source)

从 3. 我得出的结论是 4. 是不可能的，但这只是旧信息，现在不再有效吗？

感谢您提供任何有用的见解:)

Answer 1

从技术上讲，Office 365 不需要 ADFS。 SSO 可以通过任何可以发送正确类型的消息和令牌的联合服务器来完成。 （我知道，因为我已经完成了。）如果您的 SSO 解决方案发出正确类型的数据，您可以使用它。使用 ADFS 以外的联合服务器可能存在 Microsoft SLA 和支持问题。先检查一下。如果您确实想重用现有的联合基础架构并需要帮助，请shoot me a note。

Answer 2

只需确保 SAML 解决方案同时支持被动和主动配置文件 (ECP)。基于 Web 的登录需要被动配置文件。 Active/ECP 是支持 Outlook、Thunderbird 等胖客户端所必需的。我们已经让这两种配置文件都能正常工作。