Azure-docs: كيفية الحصول على تأكيد SAML بدون IDP متحد آخر
أحاول الحصول على تأكيد SAML ولكن لدي حساب Microsoft Azure بسيط باستخدام أرصدة MSDN الخاصة بي - لا يوجد ADFS - وأود تجربة ذلك. يمكنني الحصول على استجابة SAML باستخدام login.microsoft.com/_TenantId/SAML2؟SAMLRequest API ولكن عندما أضع استجابة SAML كـ "تأكيد" في استدعاء "OAuth2 / v2.0 / Token" أتلقى خطأ في كل مرة : AADSTS50107: كائن مجال الاتحاد المطلوب " https://sts.windows.net/_TenantID_/ " غير موجود. "
كيف تحصل على تأكيد SAML بدون ADFS؟
تفاصيل المستند
⚠ لا تقم بتحرير هذا القسم.
- رقم التعريف: 9f168986-8f8f-4e97-cba8-547564c97eb5
- معرف الإصدار المستقل: 12ac4571-4f35-300e-9119-8d13673f3722
- المحتوى: نظام هوية Microsoft وتدفق تأكيد حامل SAML
- مصدر المحتوى: articles / active-directory / developer / v2-saml-bearer-assertion.md
- الخدمة: الدليل النشط
- الخدمة الفرعية: تطوير
- تسجيل الدخول على جيثب:umeshbarapatre
- الاسم المستعار لـ Microsoft: ryanwi
keithdv
ال 41 كومينتر
keithdv شكرا لملاحظاتك! سنقوم بالتحقيق والتحديث حسب الاقتضاء.
FrankHu-MSFT
في ٢٠ ديسمبر ٢٠١٩
keithdv ، أعتذر عن التأخير في ردي. لقد تحققت من الخيط وأود حقًا أن أفهم بعض التفاصيل الإضافية حول سبب محاولتنا الحصول على تأكيد SAML الذي تم إنشاؤه من نفس IDP من حيث نخطط لجلب الرمز المميز.
أفضل الانتقال إلى تدفق رمز التفويض لـ OAuth2.0 والحصول على رمز الوصول. لست متأكدًا حقًا مما إذا كان من المفترض أن يعمل هذا حتى.
لقد اختبرت هذا التدفق مع ADFS وهو يعمل بشكل جيد. اسمحوا لي أن أعرف إذا كنت ترغب في الحصول على الخطوات لنفسه ، حتى أتمكن من مشاركتها معك.
أيضًا ، لا تتردد في إخباري إذا كان هناك شرط / قيد معين على أساسه تخطط لاتباع المسار الذي ذكرته في استفسارك ، حتى نتمكن من البحث عن المزيد ومشاركة البعض ، مسلحين بفهم أفضل لمتطلباتك الفعلية. المزيد من المعلومات المفيدة.
souravmishra-msft
في ٣٠ ديسمبر ٢٠١٩
مرحبا كيث ،
للحصول على تأكيد SAML ، ستحتاج إلى أن يكون لديك IDP ie موفر هوية متحد مع دليل Azure النشط. لقد اختبرت ذلك مع ADFS وموفر هوية آخر تابع لجهة خارجية. يجب أن يعمل أي IDP يدعم رموز SAML 2.0 المميزة مع هذا. أتمنى أن يساعدك هذا !
شكرا
اوميش
من: Keith Voels [mailto: [email protected]]
تاريخ الإرسال: 21 ديسمبر 2019 02:44
إلى: MicrosoftDocs / azure-docs [email protected]
نسخة إلى: Umesh B [email protected] ؛ أذكر [email protected]
الموضوع: [MicrosoftDocs / azure-docs] كيفية الحصول على تأكيد SAML بدون ADFS (# 45071)
أحاول الحصول على تأكيد SAML ولكن لدي حساب Microsoft Azure بسيط باستخدام أرصدة MSDN الخاصة بي - لا يوجد ADFS - وأود تجربة ذلك. يمكنني الحصول على استجابة SAML باستخدام login.microsoft.com/_TenantId/SAML2؟SAMLRequest API ولكن عندما أضع استجابة SAML كـ "تأكيد" في استدعاء "OAuth2 / v2.0 / Token" أتلقى خطأ في كل مرة : AADSTS50107: كائن مجال الاتحاد المطلوب " https://sts.windows.net/_TenantID_/ " غير موجود. "
كيف تحصل على تأكيد SAML بدون ADFS؟
تفاصيل المستند
⚠ لا تقم بتحرير هذا القسم. وهو مطلوب من أجل docs.microsoft.com ➟ GitHub ربط المشكلة.
- رقم التعريف: 9f168986-8f8f-4e97-cba8-547564c97eb5
- معرف الإصدار المستقل: 12ac4571-4f35-300e-9119-8d13673f3722
- المحتوى: النظام الأساسي للهوية من Microsoft وتدفق تأكيد حامل SAML https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-saml-bearer-assertion
- مصدر المحتوى: articles / active-directory / developer / v2-saml-bearer-assertion.md https://github.com/Microsoft/azure-docs/blob/master/articles/active-directory/develop/v2-saml- حامل شهادة. md
- الخدمة: الدليل النشط
- الخدمة الفرعية: تطوير
- تسجيل الدخول على جيثب:umeshbarapatre https://github.com/umeshbarapatre
- الاسم المستعار لـ Microsoft: ryanwi
-
أنت تتلقى هذا لأنه تم ذكرك.
الرد على هذا البريد الإلكتروني مباشرة، مشاهدته على جيثب https://github.com/MicrosoftDocs/azure-docs/issues/45071؟email_source=notifications&email_token=AKCNYWIKJA5AXT7NQUZAORTQZUYRTA5CNFSM4J6CXN22YY3PNVWWK3TUL52HS4DFUVEXG43VMWVGG33NNVSW45C7NFSM4ICCC32A ، أو إلغاء الاشتراك https://github.com/notifications/unsubscribe-auth/ AKCNYWOJY4YS73T4J7OTRWDQZUYRTANCNFSM4J6CXN2Q .
umeshbarapatre
في ٣٠ ديسمبر ٢٠١٩
الإصدار 1.0 (oauth / token) يقوم بذلك.
"تأكيدات SAML التي تم الحصول عليها بتدفق OAuth2.0 OBO"
https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-oauth2-on-behalf-of-flow#saml -assertions-got-with-an-oauth20-obo-flow
لأي شخص آخر ... سأتجاهل هذه المقالة وأرى الرابط أعلاه.
keithdv
في ٣٠ ديسمبر ٢٠١٩
مرحبا كيث ،
هل يمكنك مساعدتي في أي سيناريو تريد جلب تأكيد SAML فيه. يعمل تدفق تأكيد حامل SAML مع رمز OAuth مميز صالح لتقديمه إلى أي IDP لتقديم تأكيد SAML على أساس ذلك. المفهوم مشابه للمنصات الأخرى مثل SAP و Salesforce. إن تدفق OBO لسبب مختلف وأود الحصول على مزيد من التفاصيل حول الهدف النهائي.
umeshbarapatre
في ١ يناير ٢٠٢٠
keithdv ، هل ترغب في التحقق من هذه النقاط القليلة:
- ما هو طلب SAML واستجابة SAML التي تلقيتها من AzureAD؟
- هل نسخت للتو جزء التأكيد (
<assertion>....</assertion>) من استجابة SAML ثم تم ترميزه بعنوان URL قبل تغذية الاستجابة لنقطة نهاية الرمز المميز لـ AAD؟
اسمحوا لي أن أعرف إجابات الاستفسارات التالية مع الهدف النهائي كما هو مطلوب من قبل umeshbarapatre حتى نتمكن من مساعدتك بشكل أفضل.
souravmishra-msft
في ٢ يناير ٢٠٢٠
keithdv ،
أتمنى أن يساعدك هذا.
souravmishra-msft
في ٣ يناير ٢٠٢٠
@ souravmishra-msft - نعم هذا صحيح. إن تدفق تأكيد حامل SAML مخصص للمجالات الموحدة بخلاف المجال المُدار. ومن ثم ، سألت عما نحاول تحقيقه هنا من خلال هذا الاختبار.
umeshbarapatre
في ٣ يناير ٢٠٢٠
هذا ما نحتاجه. يستدعي تطبيقنا واجهة برمجة تطبيقات محمية ومسجلة في Azure AD. ثم تقوم Azure API باستدعاء API مسجل ومحمي لـ SAP. تم توحيد SAP مع Azure AD. لا نريد أن يكون التطبيق على علم بـ SAP أو الاتصال بـ SAP مباشرة.
لذلك نحن بحاجة إلى إجراء تبادل رمزي داخل Azure API: تبادل الرمز المميز لحامل Azure إلى رمز حامل SAP مع الاحتفاظ بالهوية. نظرًا لأن اثنين من مزودي الخدمة (Azure و SAP) متورطان ، لا يمكننا استبدال رموز OAuth2 التي نحتاجها لتبادل رموز SAML - تأكيد SAML. هذا في API لذلك لا يمكن أن يكون وظيفة المتصفح.
تدعم نقطة النهاية v1 هذا جيدًا. يمكنك إرسال رمز الوصول لـ Azure API إلى "oauth / token" واستعادة تأكيد SAML. ثم نرسل تأكيد SAML إلى SAP ونحصل على رمز الوصول المطلوب للاتصال بواجهة برمجة تطبيقات SAP (انظر الرابط أدناه). نحتاج إلى "نوع_منحة : jwt-bearer " إلى " نوع رمزي: saml2 " في V2 كما هو موجود اليوم في V1.
https://wiki.scn.sap.com/wiki/display/Security/Using+OAuth+2.0+from+a+Web+Application+with+SAML+Bearer+Assertion+Flow
لست وحدي ، يرجى الاطلاع على التعليقات: https://answers.sap.com/questions/12852835/sso-using-azure-ad-and-sap-netweaver.html
لقد قرأت من خلال جميع وثائق Microsoft ولم أشاهد مطلقًا أي نقاش حول "المجالات المُدارة" مقابل "المجالات المتحدة". لا أعرف ما يشير إليه "النطاق المدار".
keithdv
في ٣ يناير ٢٠٢٠
حسنًا ، هذا بالضبط ما أردنا معرفته. تم نشر هذه المقالة أيضًا عندما اختبرنا نفس سيناريو SAP ومقال SAP الذي ذكرته أثناء إجراء POC. الاختلاف الوحيد هو أنه في هذا السيناريو ، تم توحيد AAD و SAP مع IDP لجهة خارجية مثل ADFS ولكن يمكن أن يكون أي IDP آخر. ومن ثم اقترح هذا استدعاء نقطة نهاية ADFS لجلب تأكيد SAML. في حالتك ، تعمل AAD بصفتك IDP للطرف الأول وأنت تتصل بنقطة نهاية AAD oAuth v1 للحصول على تأكيد saml (يمكننا اختبار هذا وتحديثه كتعليق). بمجرد حصولك على تأكيد SAML ، فإنك تقدم نفس الشيء إلى نقطة نهاية الرمز المميز لـ SAP oAuth لجلب رمز SAP Oauth المميز واستدعاء أي واجهة برمجة تطبيقات مطلوبة من جانب SAP أيضًا. لذلك باختصار ، يظل تدفق الحامل كما هو. ومع ذلك ، سوف أتحقق من تعليق V1 لتحديث ذلك. هذا لا يعني أن AAD لا يمكنها العمل إلا كمشرد داخلي ، كما أن بقية العالم قد استخدمت الكثير من النازحين الآخرين حتى لو كان ADFS سيكون إرثًا. هناك الكثير من معرفات الجهات الخارجية الأخرى التي تستخدمها العديد من الشركات مثل Oracle IDM و Vmware IDM وما إلى ذلك ، آمل أن تساعد هذه المعلومات!
شكرا
اوميش
من: Keith Voels [mailto: [email protected]]
تاريخ الإرسال: 03 يناير 2020 الساعة 22:21
إلى: MicrosoftDocs / azure-docs [email protected]
نسخة إلى: Umesh B [email protected] ؛ أذكر [email protected]
الموضوع: Re: [MicrosoftDocs / azure-docs] كيفية الحصول على تأكيد SAML بدون ADFS (# 45071)
هذا ما نحتاجه. يستدعي تطبيقنا واجهة برمجة تطبيقات محمية ومسجلة في Azure AD. ثم تقوم Azure API باستدعاء API مسجل ومحمي لـ SAP. تم توحيد SAP مع Azure AD. لا نريد أن يكون التطبيق على علم بـ SAP أو الاتصال بـ SAP مباشرة.
لذلك نحن بحاجة إلى إجراء تبادل رمزي داخل Azure API: تبادل الرمز المميز لحامل Azure إلى رمز حامل SAP مع الاحتفاظ بالهوية. نظرًا لأن اثنين من مزودي الخدمة (Azure و SAP) متورطان ، لا يمكننا استبدال رموز OAuth2 التي نحتاجها لتبادل رموز SAML - تأكيد SAML. هذا في API لذلك لا يمكن أن يكون وظيفة المتصفح.
تدعم نقطة النهاية v1 هذا جيدًا. يمكنك إرسال رمز الوصول لـ Azure API إلى "oauth / token" واستعادة تأكيد SAML. ثم نرسل تأكيد SAML إلى SAP ونحصل على رمز الوصول المطلوب للاتصال بواجهة برمجة تطبيقات SAP (انظر الرابط أدناه). نحتاج إلى "نوع_منحة : jwt-bearer " إلى " نوع رمزي: saml2 " في V2 كما هو موجود اليوم في V1.
https://wiki.scn.sap.com/wiki/display/Security/Using+OAuth+2.0+from+a+Web+Application+with+SAML+Bearer+Assertion+Flow
لست وحدي ، يرجى الاطلاع على التعليقات: https://answers.sap.com/questions/12852835/sso-using-azure-ad-and-sap-netweaver.html
لقد قرأت من خلال جميع وثائق Microsoft ولم أشاهد مطلقًا أي نقاش حول "المجالات المُدارة" مقابل "المجالات المتحدة". لا أعرف ما يشير إليه "النطاق المدار".
-
أنت تتلقى هذا لأنه تم ذكرك.
الرد على هذا البريد الإلكتروني مباشرة، مشاهدته على جيثب https://github.com/MicrosoftDocs/azure-docs/issues/45071؟email_source=notifications&email_token=AKCNYWLXEV5ME6XAZFPST6TQ35UJDA5CNFSM4J6CXN22YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOEIBR5VQ#issuecomment-570629846 ، أو إلغاء الاشتراك https://github.com/notifications/ إلغاء الاشتراك - المصادقة / AKCNYWJUJ7FN6NV43FM2D2DQ35UJDANCNFSM4J6CXN2Q .
umeshbarapatre
في ٣ يناير ٢٠٢٠
معذرةً ، لكن التفسيرات هنا لم تجعلني أكثر ذكاءً. أنا مستيقظ قليلاً في الوقت الحالي ، لذلك سيكون من الرائع أن يشرح شخص ما المزيد حول ما يجب القيام به.
لقد قمت بإعداد SSO بين Azure Active Directory و SAP Cloud Platform. بعد تسجيل الدخول إلى SAP Cloud Platform عبر Azure AD ، أحصل على استجابة SAML. لقد قمت بتشفير جزء التأكيد من استجابة SAML باستخدام BASE64. ثم أرسل هذا إلى نقطة نهاية الرمز المميز (الإصدار 2). هناك أيضًا أحصل على رسالة الخطأ "AADSTS50107: كائن مجال الاتحاد المطلوب" https://sts.windows.net/_TenantID_/ "غير موجود".
هل تم إيجاد حل لهذا؟ أم أننا في الأساس نقوم بشيء خاطئ تمامًا؟
Noirde
في ٥ يناير ٢٠٢٠
noirde أنت قريب. أنت على نفس الطريق الذي أسير فيه. لم أحصل بالفعل على تجربة Azure SAML Assertion مع SAP في مؤسستي التي أنتظر الوصول إليها. بمجرد أن أفعل ، أخشى أن يكون لدي نفس الخطأ. تحصل على نفس الخطأ عند محاولة استخدام تأكيد SAML مع Microsoft Graph. انظر التعليقات المغلقة على الخطأ.
واحد لدي أذونات سأخبرك إذا نجحنا أم لا.
keithdv
في ٦ يناير ٢٠٢٠
مرحبا كيث ،
هل يمكنك مشاركة نموذج مغلف التوكيد الذي تتلقاه عند إجراء مكالمة إلى نقطة نهاية azure v1. هل هذا تأكيد مغلف samlp؟
شكرا
اوميش
من: Keith Voels [mailto: [email protected]]
تاريخ الإرسال: 06 يناير 2020 08:58
إلى: MicrosoftDocs / azure-docs [email protected]
نسخة إلى: Umesh B [email protected] ؛ أذكر [email protected]
الموضوع: Re: [MicrosoftDocs / azure-docs] كيفية الحصول على تأكيد SAML بدون ADFS (# 45071)
Noirde https://github.com/Noirde أنت قريب. أنت على نفس الطريق الذي أسير فيه. لم أحصل بالفعل على تجربة Azure SAML Assertion مع SAP في مؤسستي التي أنتظر الوصول إليها. بمجرد أن أفعل ، أخشى أن يكون لدي نفس الخطأ. تحصل على نفس الخطأ عند محاولة استخدام تأكيد SAML مع Microsoft Graph. انظر التعليقات المغلقة على الخطأ.
واحد لدي أذونات سأخبرك إذا نجحنا أم لا.
-
أنت تتلقى هذا لأنه تم ذكرك.
الرد على هذا البريد الإلكتروني مباشرة، مشاهدته على جيثب https://github.com/MicrosoftDocs/azure-docs/issues/45071؟email_source=notifications&email_token=AKCNYWMSMKAXIUX3T2CF7BTQ4KQNDA5CNFSM4J6CXN22YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOEIEJYAI#issuecomment-570989569 ، أو إلغاء الاشتراك https://github.com/notifications/ إلغاء الاشتراك - المصادقة / AKCNYWOPER7HLDULIQQHV63Q4KQNDANCNFSM4J6CXN2Q .
umeshbarapatre
في ٦ يناير ٢٠٢٠
مرحبا اوميش ،
ها أنت ذا. لا أصدق ذلك. إنه ببساطة <Assertion>
<Assertion ID="_32e7b830-43cf-40cd-a0f7-0ddf851dfb00" IssueInstant="2020-01-06T22:03:57.551Z" Version="2.0"
xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>https://sts.windows.net/cb632b2c-217b-4edd-9be9-35f29b5c9f11/</Issuer>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<Reference URI="#_32e7b830-43cf-40cd-a0f7-0ddf851dfb00">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<DigestValue>Ng1WJ0mjixtBOAflWvZUX10duf7bmjHV7DGIyQDiABs=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>BbHkH/aXuejrSDoWHuBXbXWVyF8aU1O1ZMtCaJwgvrvjBjuA8Go9P7y+maryiQXk0+o/6jv5GciNkYaatAcIl8XpHetUvs6VRtEbqleE0n80LY/eSV7fDmhRYnq7YlH/d3lEmMInsEE2q0WxX/9hxvpADlTt6x1zF7QvCSmQl5nlBEvYuPXqhKgLNtCbBykwu+CHHfcP+ULBJZkZJp12wbV00yPJxlrOYSvszKLmvwaBqWNqxjmuKUADNnHnbHZWr2UbsuBiBn2fIOTg6AFhl7JktI/vMMr35wJJkJTDWvq8CknJxFHxGKUspCGHtI0nNOCUhBaiCw3q4LcKylpOlw==</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>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</X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ftOmbYBIMVgi3RWFQa2lLAqkmtzBAdZXJjrcQVo5KR0</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"/>
</Subject>
<Conditions NotBefore="2020-01-06T21:58:57.207Z" NotOnOrAfter="2020-01-06T23:03:27.207Z">
<AudienceRestriction>
<Audience>https://ebs.sap.com/sap/bc/sec/oauth2/token</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid">
<AttributeValue>cb632b2c-217b-4edd-9be9-35f29b5c9f11</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
<AttributeValue>af56d9be-a146-4230-801e-f83f1a3bab4e</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Voels</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<AttributeValue>Keith</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Keith Voels</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/identityprovider">
<AttributeValue>live.com</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/unspecified</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2020-01-06T22:03:07.208Z">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
keithdv
في ٦ يناير ٢٠٢٠
منجم مختلف قليلا. موفر الهوية بالنسبة لي على وجه الخصوص ليس live.com ، ولكن أيضًا sts ... /
<Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_718927ef-7105-4baa-84c5-74b8b0b46600"
IssueInstant="2020-01-07T09:22:48.487Z"
Version="2.0"
>
<Issuer>https://sts.windows.net/32b337ff-9459-4bc1-b28a-b720735cbe39/</Issuer>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<Reference URI="#_718927ef-7105-4baa-84c5-74b8b0b46600">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
<DigestValue><Value></DigestValue>
</Reference>
</SignedInfo>
<SignatureValue><Value></SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate><Value></X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"><Value></NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="a883788fahf73ai48ee64e660g4fe8"
NotOnOrAfter="2020-01-07T10:22:48.268Z"
Recipient="<value>"
/>
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2020-01-07T09:17:48.268Z"
NotOnOrAfter="2020-01-07T10:22:48.268Z"
>
<AudienceRestriction>
<Audience>https://<Value>.authentication.eu10.hana.ondemand.com</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid">
<AttributeValue>32b337ff-9459-4bc1-b28a-b720735cbe39</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
<AttributeValue>113b9583-05a6-4867-90f2-1ab4d1ef7225</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/identityprovider">
<AttributeValue>https://sts.windows.net/32b337ff-9459-4bc1-b28a-b720735cbe39/</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
</Attribute>
<Attribute Name="first_name">
<AttributeValue><Value></AttributeValue>
</Attribute>
<Attribute Name="last_name">
<AttributeValue><Value></AttributeValue>
</Attribute>
<Attribute Name="mail">
<AttributeValue><Value></AttributeValue>
</Attribute>
<Attribute Name="Groups">
<AttributeValue><Value></AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2020-01-07T09:22:46.413Z"
SessionIndex="_718927ef-7105-4baa-84c5-74b8b0b46600"
>
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
Noirde
في ٧ يناير ٢٠٢٠
شكرا كيث زوج من الأسئلة. هل هذا التأكيد مقبول في رمز sap oauth. لم أستطع رؤية اسم معرف ربما أنا أقرأه
من جهاز محمول ولكن هذا واحد من
السمة الإلزامية. اسمحوا لي أن أعرف إذا كان بإمكاننا الاتصال في وقت ما
احصل على Outlook لنظام التشغيل iOS https://aka.ms/o0ukef
من: Keith Voels [email protected]
تاريخ الإرسال: الثلاثاء ، 7 يناير 2020 ، الساعة 3:39:53 صباحًا
إلى: MicrosoftDocs / azure-docs [email protected]
نسخة إلى: Umesh B [email protected] ؛ أذكر [email protected]
الموضوع: Re: [MicrosoftDocs / azure-docs] كيفية الحصول على تأكيد SAML بدون ADFS (# 45071)
مرحبا اوميش ،
ها أنت ذا. لا أصدق ذلك. إنه ببساطة
-
أنت تتلقى هذا لأنه تم ذكرك.
الرد على هذا البريد الإلكتروني مباشرة، مشاهدته على جيثب https://github.com/MicrosoftDocs/azure-docs/issues/45071؟email_source=notifications&email_token=AKCNYWICCZVPVAWOMG5QTI3Q4OT3DA5CNFSM4J6CXN22YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOEIG6VLA#issuecomment-571337388 ، أو إلغاء الاشتراك https://github.com/notifications/ إلغاء الاشتراك - المصادقة / AKCNYWN7ATHP2NQHI3NUYHTQ4OT3DANCNFSM4J6CXN2Q .
umeshbarapatre
في ٨ يناير ٢٠٢٠
فيما يتعلق بالبريد كيث هناك
أعتقد أن Keith يفعل شيئًا مشابهًا جدًا لي ، ولكن بطريقة ما ضد الإصدار 1 وليس الإصدار 2. للاختبار ، حصلت على التأكيد الذي حصلت عليه مرة أخرى بعد تسجيل الدخول بنجاح إلى SAP Cloud Platform عبر Azure AD. لقد حولته إلى base64 عبر https://www.base64encode.org/ يدويًا.
أحاول الآن النشر على " https://login.microsoftonline.com/ {{TenantID}} / oauth2 / v2.0 / token" مع النص الأساسي:
grant_type:urn:ietf:params:oauth:grant-type:saml2-bearer
client_id:{{ClientID}}
client_secret:{{ClientSecret}}
scope:https://graph.microsoft.com/.default
assertion:{{Base64_encoded_assertion}}
أتلقى الآن الخطأ المذكور:
{
"error": "invalid_request",
"error_description": "AADSTS50107: The requested federation realm object 'https://sts.windows.net/<tenantId>/' does not exist.\r\nTrace ID: 6365a830-7aa3-4b27-94cc-7b3d31d09a00\r\nCorrelation ID: 5f89f618-58d2-4f4a-9e90-fcf3d7ca6762\r\nTimestamp: 2020-01-10 17:24:49Z",
"error_codes": [
50107
],
"timestamp": "2020-01-10 17:24:49Z",
"trace_id": "6365a830-7aa3-4b27-94cc-7b3d31d09a00",
"correlation_id": "5f89f618-58d2-4f4a-9e90-fcf3d7ca6762",
"error_uri": "https://login.microsoftonline.com/error?code=50107"
}
Noirde
في ١٠ يناير ٢٠٢٠
noirde لقد واجهت هذا الخطأ عدة مرات ولم
umeshbarapatre نعم ، لقد حصلنا على SAP لقبول تأكيد SAML. كان علينا أن نلعب مع السمة NameID و AudienceRestriction و Recipient ضمن إعدادات تطبيق Azure Enterprise ولكننا نجحنا في العمل.
نعم ، أرغب كثيرًا في الاتصال. من فضلك أرسل لي بريدًا إلكترونيًا. شكرا!
keithdv
في ٢٠ يناير ٢٠٢٠
أي تحديثات أو تلميحات أخرى؟
Noirde
في ٢٦ يناير ٢٠٢٠
مرحبا كيث ،
أعتذر ولكني مشغولة قليلاً بالمسؤوليات اليومية. ما المنطقة الزمنية التي تعمل بها. يمكننا الاتصال عبر سكايب يوم الثلاثاء 4 فبراير في وقت ما.
شكرا
اوميش
من: Keith Voels [mailto: [email protected]]
تاريخ الإرسال: 21 يناير 2020 03:14
إلى: MicrosoftDocs / azure-docs [email protected]
نسخة إلى: Umesh B [email protected] ؛ أذكر [email protected]
الموضوع: Re: [MicrosoftDocs / azure-docs] كيفية الحصول على تأكيد SAML بدون ADFS (# 45071)
Noirde https://github.com/Noirde لقد واجهت هذا الخطأ عدة مرات ولم أتغلب عليه. لا يمكنني الحصول على Microsoft Graph لقبول تأكيد SAML للحصول على رمز وصول في أي سيناريو.
umeshbarapatre https://github.com/umeshbarapatre نعم ، لقد حصلنا على SAP لقبول تأكيد SAML. كان علينا أن نلعب مع السمة NameID و AudienceRestriction و Recipient ضمن إعدادات تطبيق Azure Enterprise ولكننا نجحنا في العمل.
نعم ، أرغب كثيرًا في الاتصال. من فضلك أرسل لي بريدًا إلكترونيًا. شكرا!
-
أنت تتلقى هذا لأنه تم ذكرك.
الرد على هذا البريد الإلكتروني مباشرة، مشاهدته على جيثب https://github.com/MicrosoftDocs/azure-docs/issues/45071؟email_source=notifications&email_token=AKCNYWOEA27GFBJVMY62W5TQ6YLKPA5CNFSM4J6CXN22YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOEJN4FIA#issuecomment-576438944 ، أو إلغاء الاشتراك https://github.com/notifications/ إلغاء الاشتراك - المصادقة / AKCNYWMYS3GU3G5LFK3URCLQ6YLKPANCNFSM4J6CXN2Q .
umeshbarapatre
في ١ فبراير ٢٠٢٠
هل تمكنت من خصم حل؟
Noirde
في ٥ فبراير ٢٠٢٠
keithdv - من الجيد أن تسمع أن NameID والسمات الأخرى تعمل من أجلك. Wrt Graph API ، إذا كان بإمكانك معرفة واجهة الرسم البياني التي تستخدمها ، فربما يمكنني مشاركة وجهات نظري التي يمكن أن تكون مفيدة.
umeshbarapatre
في ٦ فبراير ٢٠٢٠
هل تمكنت من خصم حل؟
Noirde - كما أكد Keith نجاح تأكيد SAML ، نحن متقدمون بخطوة واحدة ، يمكنني المساعدة في قبول Graph API بناءً على المعلومات المقدمة
umeshbarapatre
في ٦ فبراير ٢٠٢٠
umeshbarapatre - لدي سيناريو تفويض مختلف
Khyzdul
في ٢٣ مارس ٢٠٢٠
لذلك ، لقد وصلت إلى النقطة التي يتم فيها قبول تأكيد SAML الصادر عن Azure AD من خلال login.microsoftonline.com/tenant-id/OAuth2/v2.0/token ولكني أحصل على نفس الخطأ الذي تحصل عليه:
AADSTS50107: كائن مجال الاتحاد المطلوب " https://sts.windows.net/tenant-id/ " غير موجود.
أطلب نوع المنحة التالي: " urn: ietf: params: oauth: منح- نوع: saml2-bearer " للوصول إلى واجهة برمجة تطبيقات الرسم البياني في نفس المجال مثل تأكيد SAML.
عندما أجري هذا الاستعلام على المستأجر لدينا من بوويرشيل:
Get-MsolDomainFederationSettings
النتيجة فارغة.
العديد من مقالات البائعين مثل هذه المقالة من SecureAuth:
هل يعني أن المُصدر بحاجة للظهور في إخراج هذا الأمر؟
Khyzdul
في ٣ أبريل ٢٠٢٠
Khyzdul لم أحصل مطلقًا على Microsoft Graph API لقبول تأكيد SAML كما هو موثق. لقد علقت في الخطأ الذي أنت فيه. ضمن Azure التمسك برموز OAuth2.
ما أنجزناه هو أن البائعين الآخرين (MuleSoft ، SAP) سيقبلون تأكيد Azure SAML للحصول على الرموز المميزة لحامل OAuth2 الخاصة بالمستخدم.
بالنسبة لي هذا منطقي. لا يُقصد من OAuth2 إشراك أكثر من موفري هوية واحد. SAML هو ؛ هذا هو الدور. لذلك عند القفز من موفري الهوية ، استخدم تأكيد SAML. في موفر هوية واحد ، لا تستخدم تأكيدات SAML.
keithdv
في ٩ أبريل ٢٠٢٠
keithdv على الرغم من صحة ما تقوله عن الاختلاف في SAML و OAuth2 ، إلا أن هناك جانبين آخرين على ما أعتقد. أحدهما هو حقيقة استخدام SAML لبعض الأنظمة القديمة التي لم تنفذ بعد OAuth في الخلف (ومن ثم سيكون من الجيد أن تكون قادرًا على إعادة استخدام هذا الجزء واستخدام التأكيد لأشياء أخرى) ، وثانيًا ( والأكثر أهمية من imho) ، قد يفترض / يمكن للمرء أن يفترض أنه عند طلب تأكيد SAML من "مستأجر AAD" ثم الحصول على رمز لاحقًا من مستأجر AAD نفسه لن يتطلب أي اتحاد على الإطلاق؟ أفهم السبب التقني وراء حصولنا على هذا الخطأ ، ولكن من وجهة نظر المستخدم / المنطقية ، لا معنى له كثيرًا ... ألا توافق؟ (الآن تقول بشكل أساسي "نحن لا نثق في نطاقاتنا")
wimvanhouts
في ١٠ أبريل ٢٠٢٠
Khyzdul - هل لي أن أعرف ما إذا كانت هناك حاجة محددة للذهاب مع مسار SAML في حالتك. أنا أفهم أنك متحد ضد Azure فقط. يمكنك الاتصال مباشرة بنقطة نهاية رمز OAuth المميز للحصول على رمز ما لم يكن هناك أي شيء مفقود
umeshbarapatre
في ١٠ أبريل ٢٠٢٠
Khyzdul إنها في الأساس مسألة "ما لدينا بالفعل". لدينا منتج كبير نسبيًا يحتوي بالفعل على SAML متكامل لإجراء تسجيل الدخول ، ويعمل مع AAD.
ومع ذلك ، تحتاج وحدة / ملحق / مكون إضافي (جديد) آخر للوصول إلى MS Graph SDK ويمكننا أن نمنحه التأكيد ، ولكنه في الواقع يحتاج إلى "تبادل" هذا الرمز المميز (هذا غير مرئي للمستخدم بعد ذلك) واستدعاء وظيفة الرسم البياني. هذا غير ممكن الآن ، لأن AAD الذي يأتي مع O365 ولا يمكن لـ SAML تحويله إلى رمز مميز بسبب الخطأ المتمثل في أن المملكة غير معروفة (حتى أنها اعتقدت أنها نفس AAD).
لذا يمكنك الآن أن تجادل بأنه يمكننا إعادة كتابة إجراء تسجيل الدخول بالكامل باستخدام OAuth ، ولكن هذا قدر معقول من العمل في منتج قديم. هذا له تأثير على المنتج لأنه حتى الآن ، لم يكن هناك سوى وحدة نمطية تحتاج إلى تغيير ، والآن أصبح فجأة تغييرًا جادًا في المنتج ، للتغلب على شيء من وجهة نظر المستخدم بالتأكيد "خطأ". وبالتالي التأثير على خارطة الطريق ودورات ضمان الجودة والإصدارات وما إلى ذلك ...
wimvanhouts
في ١٢ أبريل ٢٠٢٠
keithdv لدينا نفس المتطلبات تمامًا ، احصل على تأكيد SAML من AAD ،
dominic1904
في ٦ مايو ٢٠٢٠
اختبرنا نظريتنا القائلة بأننا بحاجة إلى تسجيل المستأجر كمجال اتحاد موثوق به مع نفسه (فعل ذلك في مستأجر غير منتج). أشارت رسالة الخطأ الناتجة إلى أنه يتعين علينا ضبط وضع ترخيص المستأجر على الاتحاد.
استنتاجنا في هذه المرحلة هو أننا سنقوم بتعيين المستأجر على وضع يتوقع فيه أن يتم التعامل مع مصادقته بواسطة IdP خارجي. لا نعرف ما قد يكون التأثير الجانبي لأشياء مثل O365 ، نحن لا نتابع هذا أكثر. نحن نعيد كتابة التطبيق لاستخدام Oauth.
أشعر بالحيرة من منطق دعم SAML SSO (باستخدام Azure AD كموفر الهوية) ، إذا كان Azure AD لا يثق في التأكيدات التي يصدرها.
سيكون من المفيد إذا نشرت MS دليل Azure AD SSO الذي يوضح الأنماط التي تدعمها وتوضح افتراضات / قيود كل منها بوضوح. على سبيل المثال ، إذا كنت تستخدم SAML مع Azure AD كموفر الهوية ، فلا يمكنك استخدام الجلسة لاستدعاء واجهة برمجة تطبيقات الرسم البياني لأن تبادل الرموز المميزة غير مدعوم.
يبدو أنه سبب لتجنب استخدام Azure AD تمامًا باعتباره SAML IdP.
شكرا على المحادثة الجذابة.
احصل على Outlook لنظام Android https://aka.ms/ghei36
من: dominic1904 [email protected]
تاريخ الإرسال: الأربعاء ، 6 مايو 2020 ، الساعة 7:55:13 صباحًا
إلى: MicrosoftDocs / azure-docs [email protected]
نسخة إلى: Khyzdul [email protected] ؛ أذكر [email protected]
الموضوع: Re: [MicrosoftDocs / azure-docs] كيفية الحصول على تأكيد SAML بدون ADFS (# 45071)
keithdv https://nam11.safelinks.protection.outlook.com/؟url=https٪3A٪2F٪2Fgithub.com٪2Fkeithdv&data=02٪7C01٪7C٪7Ce4937829995f44b2fc3108d7f1b4566f٪7C84df9e7fe9f640afb435aaaaaaaaaaaa٪7C1٪7C0٪7C637243629152039847&sdata=SSCEzWzXsqKX4DeDTAVKZ4VEK5AoUsjXo4Wu8LF٪2BnTM ٪ 3D & reserved = 0 لدينا نفس المتطلبات تمامًا ، احصل على تأكيد SAML من AAD ، واستخدمه للإرسال إلى SAP للحصول على رمز وصول واستدعاء SAP API باستخدام رمز الوصول. لقد قرأت الكثير من المستندات وما زلت لا أستطيع أن أجعلها تعمل. من التعليقات أعلاه ، يبدو أن تعليقك يعمل الآن. هل من الممكن أن تشارك الخطوات؟ شكرا جزيلا.
-
أنت تتلقى هذا لأنه تم ذكرك.
قم بالرد على هذه الرسالة الإلكترونية مباشرةً ، واعرضها على GitHub https://nam11.safelinks.protection.outlook.com/؟url=https٪3A٪2F٪2Fgithub.com٪2FMicrosoftDocs٪2Fazure-docs٪2Fissues٪2F45071٪23issuecomment-624605575&data = 02٪ 7C01٪ 7C٪ 7Ce4937829995f44b2fc3108d7f1b4566f٪ 7C84df9e7fe9f640afb435aaaaaaaaaaaa٪ 7C1٪ 7C0٪ 7C637243629152049843 وsdata = 8jUZhFplYEqm5mKPusLYAqtZxY4p3gMyMjHYQs7tSQM٪ 3D & محفوظة = 0 ، أو إلغاء الاشتراك https://nam11.safelinks.protection.outlook.com/؟url=https٪3A٪2F٪2Fgithub. كوم٪ 2Fnotifications٪ 2Funsubscribe-المصادقة٪ 2FAO5BDHYDRYGUG735YX7JQG3RQFF2DANCNFSM4J6CXN2Q والبيانات = 02٪ 7C01٪ 7C٪ 7Ce4937829995f44b2fc3108d7f1b4566f٪ 7C84df9e7fe9f640afb435aaaaaaaaaaaa٪ 7C1٪ 7C0٪ 7C637243629152049843 وsdata = Xzy8٪ 2F7HUCgMjDJgKSdhyPqifGxI٪ 2BS3Jes2GSbOEHwPU٪ 3D & محفوظة = 0 .
Khyzdul
في ٧ مايو ٢٠٢٠
هل هناك أي تحديثات حول هذا الموضوع؟
أنا في نفس الموقف تماما. لقد سجلت تطبيق SAP C4C Enterprise في AAD وأنا قادر على استخدامه بنجاح لتسجيل الدخول الأحادي إلى SAP.
بالإضافة إلى ذلك ، أريد استخدام تطبيق AAD نفسه بالضبط لطلب تأكيد SAML من AAD واستخدامه كحامل OAuth SAML لطلب رمز وصول من SAP. كما ذكر keithdv في بداية هذه المشكلة ، يمكنني أيضًا تلقي تأكيد SAML من نقطة النهاية login.microsoft.com/_TenantId/SAML2 ولكن ليس لدي أي فكرة عن كيفية التأثير على Recipient من SubjectConfirmation في استجابة SAML لمطابقة نقطة نهاية رمز SAP المطلوب: .../sap/bc/sec/oauth2/token .
لتوضيح وضعي:
لدي عميل يجب أن يكون قادرًا على تنفيذ الطلبات إلى SAP API خاص. لذلك ، يجب على المستخدمين تسجيل الدخول إلى AAD الخاص بهم والذي لديه بالفعل علاقة ثقة مع SAP الخاص بهم. من هذه النقطة فصاعدًا ، أود تلقي تأكيد SAML من AD مع نقطة نهاية الرمز المميز لـ SAP كـ recipient والتي يمكنني استخدامها بعد ذلك مع بيانات اعتماد تطبيق OAuth الأخرى من SAP للحصول على رمز وصول. ما زلت غير متأكد مما إذا كان هذا ممكنًا مع Azure بسبب جميع البيانات المختلفة في هذه المشكلة والمصادر الأخرى المختلفة المذكورة هنا؟ أنا حقا سأقدر أي نصيحة في هذا الشأن.
michaelwolz
في ٨ يوليو ٢٠٢٠
إعادة التعيين: paulgarnpaulgarn نسخة: @ hpsin
mmacy
في ١٦ يوليو ٢٠٢٠
تمت إزالة umeshbarapatre مستخدم GitHub من مؤسسة MicrosoftDocs ، لذلك تمت إزالته تلقائيًا كمسؤول.
PRMerger6
في ١٦ يوليو ٢٠٢٠
إعادة توجيه المشكلة # 59746 هنا.
CC: @ amit17051980
krish-gh
في ٣٠ يوليو ٢٠٢٠
شكرا كريش.
أنا في انتظار حل بفارغ الصبر!
amit17051980
في ٣٠ يوليو ٢٠٢٠
تم التأكيد من فريق المنتج على أنه نعم ، هذا التبادل مخصص خصيصًا للمستخدمين الفيدراليين حيث يحصل التطبيق على رمز SAML من ADFS أو IDP متحد آخر. لا توجد خطط لإضافة المزيد من الوظائف في الوقت الحالي.
في معظم الحالات ، يمكن تلبية هذا السيناريو (حيث يكون المستخدم مستخدم AAD ويتم إصدار رمز SAML المميز من AAD مع التطبيق كـ Audience) من خلال تدفق رمز مصادقة منتظم. ما عليك سوى الحصول على رمز مصادقة من AAD واطلب رمز وصول للرسم البياني من نقطة نهاية الرمز المميز. نظرًا لتسجيل المستخدم الدخول بالفعل (من أجل الحصول على رمز SAML المميز). يبدأ الدخول الموحّد ولا يلزم المستخدم إعادة المصادقة. والنتيجة النهائية هي نفسها.
krish-gh
في ٣ أغسطس ٢٠٢٠
سنشرع في إغلاق هذه المسألة الآن. لا تتردد في التعليق هنا إذا كان هناك أي سؤال أو مشكلة متابعة.
krish-gh
في ٣ أغسطس ٢٠٢٠
@ krish-gh إذن ليست هناك خطة لإضافة وظائف موجودة في الإصدار 1.0 من نقطة نهاية الرمز المميز (الرابط أدناه) ؟؟ مرة أخرى ، يعد هذا أمرًا بالغ الأهمية لتدفق العمل لدينا للتواصل مع SAP و Salesforce وسنواجه مشكلة كبيرة إذا تم إسقاط هذه الوظيفة. نحن بالفعل في طبقة الخدمة العديد من الطبقات المادية خارج المتصفح.
الإصدار 1.0 (oauth / token) يقوم بذلك.
"تأكيدات SAML التي تم الحصول عليها بتدفق OAuth2.0 OBO"
https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-oauth2-on-behalf-of-flow#saml -assertions-got-with-an-oauth20-obo-flow
keithdv
في ٣ أغسطس ٢٠٢٠
فيما يلي رسم تخطيطي لما نحتاج إلى تحقيقه. نحن فريق واجهة برمجة التطبيقات للتكامل - لا يمكننا مطالبة تطبيق المتصفح بإجراء تغييرات. في الواقع ، لا نريدهم أن يعالجوا ما إذا كان SAP يفي بالطلب. مرة أخرى ، يمكننا القيام بذلك باستخدام نقطة نهاية الرمز المميز OAuth2 v1.0.
SAP OBO.pdf
keithdv
في ٣ أغسطس ٢٠٢٠
keithdv ، يُرجى متابعة الإصدار 1.0 في جزء تأكيد OBO SAML من سير عمل API. لا توجد خطة لإسقاطه من الإصدار 1.
كما ذكرنا ، لا توجد خطة فورية لإضافة هذا في V2 حتى الآن. سنحتفظ بعلامة على طلب مثل هذا السيناريو. شكرًا جزيلاً لك على مشاركة تفاصيل سير عملك.
krish-gh
في ٣ أغسطس ٢٠٢٠
القضايا ذات الصلة
behnam89
·
3تعليقات
Ponant
·
3تعليقات
JeffLoo-ong
·
3تعليقات
jebeld17
·
3تعليقات
ianpowell2017
·
3تعليقات
التعليق الأكثر فائدة
Khyzdul إنها في الأساس مسألة "ما لدينا بالفعل". لدينا منتج كبير نسبيًا يحتوي بالفعل على SAML متكامل لإجراء تسجيل الدخول ، ويعمل مع AAD.
ومع ذلك ، تحتاج وحدة / ملحق / مكون إضافي (جديد) آخر للوصول إلى MS Graph SDK ويمكننا أن نمنحه التأكيد ، ولكنه في الواقع يحتاج إلى "تبادل" هذا الرمز المميز (هذا غير مرئي للمستخدم بعد ذلك) واستدعاء وظيفة الرسم البياني. هذا غير ممكن الآن ، لأن AAD الذي يأتي مع O365 ولا يمكن لـ SAML تحويله إلى رمز مميز بسبب الخطأ المتمثل في أن المملكة غير معروفة (حتى أنها اعتقدت أنها نفس AAD).
لذا يمكنك الآن أن تجادل بأنه يمكننا إعادة كتابة إجراء تسجيل الدخول بالكامل باستخدام OAuth ، ولكن هذا قدر معقول من العمل في منتج قديم. هذا له تأثير على المنتج لأنه حتى الآن ، لم يكن هناك سوى وحدة نمطية تحتاج إلى تغيير ، والآن أصبح فجأة تغييرًا جادًا في المنتج ، للتغلب على شيء من وجهة نظر المستخدم بالتأكيد "خطأ". وبالتالي التأثير على خارطة الطريق ودورات ضمان الجودة والإصدارات وما إلى ذلك ...