我真的很难理解这些 Azure AD 概念。
这是我的情况。我有一个网络应用程序,其用户属于公司。我的要求是能够通过他们公司的 Azure AD 对这些用户进行身份验证。最终,我们希望将来在 Azure 应用程序库中提供此功能。
我开始通过应用程序注册注册应用程序,这为我提供了使用 OIDC 进行集成的信息。我们希望同时支持 OIDC 和 SAML 协议(protocol)(我看到库中有些应用同时提供这两种协议(protocol))。
我测试了 OIDC,它工作正常,但是当我想开发 SAML 集成时,文档说必须使用企业应用程序来完成。我无法编辑注册生成的企业应用的 SSO 部分:
The single sign-on configuration is not available for this application in the Enterprise applications experience. MY APP was created using the App registrations experience.
所以我测试了创建一个新的企业应用程序。使用此应用程序,我可以正确执行所有 SAML 流程。
我的问题是:
- 我是否必须将
注册应用与企业应用连接?我该如何做到这一点? - 为什么我无法在企业生成的应用中编辑 SSO 信息?
- 如果是通过注册应用程序完成的。在哪里设置 SAML 端点、证书等?
通过阅读文档,我了解到企业应用程序就像“已注册应用程序的实例”。这让我认为我应该在注册的应用程序中配置所有内容,但我不知道如何支持 SAML。
最佳答案
正如 @Srinath Menon 在上面的答案中提到的,如果应用程序是使用应用程序注册来注册的,则单点登录功能默认配置为使用 OIDC OAuth。在这种情况下,单点登录选项将不会显示,对于企业应用程序,我们有一个选项。
应用程序在 AAD 中注册的两种方式,并且应用程序注册完成后会创建两种类型的对象。
应用程序对象是您在 AAD 中的应用程序注册下看到的内容。应用程序对象描述应用程序的三个方面:服务如何发出 token 来访问应用程序、应用程序可能需要访问的资源以及应用程序可以执行的操作。 。应用程序注册基本上是租户/组织本地的应用程序。
服务主体对象是您在 AAD 中的企业注册边栏选项卡下看到的内容。每个应用程序对象都会在 AAD 的企业注册 Blade 中创建相应的服务主体对象。在使用应用程序的每个租户中创建一个服务主体,并引用全局唯一的应用程序对象。 企业应用 Blade 显示可在您的租户/组织内配置和使用的全局应用(其他租户)。
关于Azure Active Directory 应用程序注册与企业应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69184994/