Platforma de identitate Microsoft si fluxul de afirmare a purtatorului SAML

• 08/05/2019
• 3 minute de citit

In acest articol

Fluxul de afirmare a purtatorului OAuth 2.0 SAML va permite sa solicitati un jeton de acces OAuth utilizand o afirmatie SAML atunci cand un client trebuie sa utilizeze o relatie de incredere existenta. Semnatura aplicata afirmatiei SAML ofera autentificarea aplicatiei autorizate. O afirmatie SAML este un simbol de securitate XML emis de un furnizor de identitate si consumat de un furnizor de servicii. Furnizorul de servicii se bazeaza pe continutul sau pentru a identifica subiectul afirmatiei in scopuri legate de securitate.

Afirmatia SAML este postata la punctul final al simbolului OAuth. Punctul final proceseaza afirmatia si emite un jeton de acces pe baza aprobarii prealabile a aplicatiei. Clientul nu este obligat sa detina sau sa stocheze un token de reimprospatare si nici secretul clientului nu trebuie sa fie transmis la punctul final al tokenului.

Fluxul SAML Bearer Assertion este util la preluarea datelor din API-urile Microsoft Graph (care accepta numai permisiuni delegate) fara a solicita utilizatorului acreditari. In acest scenariu, acordarea acreditarii clientului, care este preferata pentru procesele de fundal, nu functioneaza.

Pentru aplicatiile care fac conectare interactiva bazata pe browser pentru a obtine o afirmatie SAML si apoi doresc sa adauge acces la un API protejat OAuth (cum ar fi Microsoft Graph), puteti face o cerere OAuth pentru a obtine un jeton de acces pentru API. Cand browserul este redirectionat catre Azure AD pentru a autentifica utilizatorul, browserul va prelua sesiunea de la conectarea SAML si utilizatorul nu trebuie sa-si introduca acreditarile.

Fluxul OAuth SAML Bearer Assertion este, de asemenea, acceptat pentru utilizatorii care se autentifica cu furnizori de identitate, cum ar fi Active Directory Federation Services (ADFS) federate in Azure Active Directory. Afirmatia SAML obtinuta de la ADFS poate fi utilizata intr-un flux OAuth pentru autentificarea utilizatorului.

Apelati grafic folosind afirmatia purtatorului SAML

Acum, sa intelegem cum putem prelua de fapt afirmatia SAML in mod programat. Aceasta abordare este testata cu ADFS. Cu toate acestea, acest lucru functioneaza cu orice furnizor de identitate care accepta returnarea programata a afirmatiei SAML. Procesul de baza este: obtineti o afirmatie SAML, obtineti un jeton de acces si accesati Microsoft Graph.

Conditii prealabile

Stabiliti o relatie de incredere intre serverul de autorizare / mediu (Microsoft 365) si furnizorul de identitate sau emitentul afirmatiei purtatorului SAML 2.0 (ADFS). Pentru a configura ADFS pentru conectare unica si ca furnizor de identitate, puteti consulta acest articol.

Inregistrati aplicatia in portal:

1. Conectati-va la lama de inregistrare a aplicatiei a portalului (Va rugam sa retineti ca utilizam punctele finale v2.0 pentru Graph API si, prin urmare, trebuie sa inregistram aplicatia in acest portal. In caz contrar, am fi putut folosi inregistrarile in directorul activ Azure).
2. Selectati Inregistrare noua .
3. Cand apare pagina Inregistrati o aplicatie , introduceti informatiile de inregistrare a aplicatiei:
   1. Nume – Introduceti un nume semnificativ al aplicatiei care va fi afisat utilizatorilor aplicatiei.
   2. Tipuri de cont acceptate – Selectati conturile pe care doriti sa le accepte aplicatia.
   3. Redirectionare URI (optional) – Selectati tipul de aplicatie pe care il creati, Web sau client public (mobil si desktop), apoi introduceti URI-ul de redirectionare (sau adresa URL de raspuns) pentru aplicatia dvs.
   4. Cand ati terminat, selectati Inregistrare .
4. Notati ID-ul aplicatiei (clientului).
5. In panoul din stanga, selectati Certificate si secrete . Faceti clic pe Secretul clientului nou in sectiunea Secretele clientului . Copiati noul secret al clientului, nu veti putea recupera atunci cand parasiti lama.
6. In panoul din stanga, selectati permisiuni API si apoi Adaugati o permisiune . Selectati Microsoft Graph , apoi permisiuni delegate , apoi selectati Tasks.read, deoarece intentionam sa utilizam API-ul Outlook Graph.

Instalati Postman, un instrument necesar pentru a testa esantionul de cereri. Mai tarziu, puteti converti cererile in cod.

Obtineti afirmatia SAML de la ADFS

Creati o cerere POST catre punctul final ADFS utilizand plicul SOAP pentru a prelua afirmatia SAML:

Valorile antetului:

Corpul solicitarii ADFS:

Odata ce aceasta solicitare este postata cu succes, ar trebui sa primiti o afirmatie SAML de la ADFS. Numai SAML: datele etichetei de afirmare sunt necesare, convertiti-le in codare base64 pentru a le utiliza in alte cereri.

Obtineti simbolul OAuth2 utilizand afirmatia SAML

In acest pas, preluati un simbol OAuth2 utilizand raspunsul de afirmare ADFS.

1. Creati o cerere POST asa cum se arata mai jos cu valorile antetului:

2. In corpul cererii, inlocuiti client_id , client_secret si assertion (afirmatia SAML codificata in baza 64 a obtinut pasul anterior):

3. La solicitarea cu succes, veti primi un jeton de acces din directorul activ Azure.

Obtineti datele cu simbolul Oauth

Dupa ce primiti jetonul de acces, apelati API-urile grafice (sarcini Outlook in acest exemplu).

1. Creati o solicitare GET cu jetonul de acces preluat in pasul anterior:

2. La solicitarea cu succes, veti primi un raspuns JSON.

Pasii urmatori

Aflati despre diferitele fluxuri de autentificare si scenarii de aplicatie.