【发布时间】:2019-07-18 18:17:22
【问题描述】:
是否可以将 AD FS 2016 配置为信任由 Azure AD 颁发的 OAuth2 访问令牌?如果 AD FS 2016 不能信任 Azure AD,那么它能否信任 Azure AD B2C 和/或 Azure AD B2B?
这将是场景:
- 客户端获取 Azure AD 颁发的 OAuth2 访问令牌以调用 API-1。
- API-1 代表流程从 AD FS 2016 请求 API-2 的新令牌。
- AD FS 2016 颁发新的访问令牌(因为它信任 Azure AD 颁发的令牌)。
- API-1 调用 API-2 发送由 AD FS 颁发的令牌。
我知道 AD FS 2016 可以通过使用 SAML 创建声明提供者信任来配置为信任联合合作伙伴组织,但我不知道的两件事是 1) 声明提供者信任是否与 OAuth2 访问令牌和2) Azure AD 和 AD FS 之间是否有声明提供程序信任工作。
【问题讨论】:
-
最接近这种情况的方法是使用 client credentials grant flow in oAuth with JWT 。 AAD 可以发出 JWT,ADFS 可以对其进行验证。虽然这可行,但我认为您无法从第 1 步无缝切换到第 2/3 步。
标签: azure-active-directory azure-ad-b2c azure-ad-b2b adfs4.0