Web 应用程序使用 OAuth 2.0 授权流对连接到 Azure AD 的 ADFS 进行身份验证

Question

我必须先声明我不是 Microsoft AD、Azure AD 和 Office 365 方面的专家。我已阅读大量 Microsoft 文档、支持和 Stackoverflow 帖子，但无法找到此特定问题的答案问题。

我有一个 Web 应用程序，它为用户提供“使用 Office365 登录”选项。这是使用Microsoft's ADAL library 和OAuth 2.0 authorization flow 实现的。

我有一个客户同时使用 ADFS 和 Azure Active Directory (Federated Identity in this document)。他们将用户的登录与 AD FS 联合起来，AD FS 将身份验证委托给本地服务器，该服务器验证用户凭据，从而允许他们的用户访问 Office365 和其他云服务。

他们的本地 AD 与 Azure AD 同步，但不同步密码。

我的问题有两个：

1) OAuth 2.0 授权流程工作的标准实现是否支持此设置？ Azure AD 会知道去 ADFS 进行身份验证吗？

2) 是否可以利用 Azure AD 和 OAuth 2.0 授权流作为 ADFS 的 IDP 代理？

Answer 1

1) 请问OAuth 2.0授权流程的标准实现 工作支持这个设置吗？ Azure AD 是否知道去 ADFS 执行 认证？

是的，只要您使用 Azure AD Connect (Federated Identity in this document) 设置了与经过验证的自定义域的联合，这非常有效。我有一个使用 OAuth 2.0 授权流程的 Web 应用程序的实时示例（从 Web 应用程序代码/配置的角度来看，不需要任何特殊的东西）。

流程是您首先进入 Microsoft 登录页面 > 选择工作/学校帐户并指定用户名 > 您将获得 ADFS 登录页面 > 在此处输入凭据后，它会像普通 Azure AD 帐户一样继续。

2) 是否可以利用 Azure AD 和 OAuth 2.0 授权 作为 IDP 代理流向 ADFS？

在某种程度上是的。虽然它不是交换证书的常规联合信任设置，但您必须改用 AzureAD 连接，就像您在上面的链接 (Federated Identity in this document) 中提到的那样。