Назад | Перейти на главную страницу

Office 365 с Azure AD - могу ли я разрешить единый вход для другого стороннего SAML-приложения извне?

Я здесь немного ослеплен тем, что я не эксперт по Azure и пока особо не связываюсь с этим, кроме O365 и DirSync.

У нас есть стороннее приложение, написанное на Ruby on Rails, которое, по их словам, будет иметь поддержку SAML в следующей версии и может выполнять SSO, потенциально синхронизируясь с Azure AD. Их облачное приложение размещено в Azure. Третья сторона еще не сказала нам, КАК. Они сказали, что собираются опубликовать его как приложение для Windows. Я вижу в Azure что-то вроде «добавить приложение из галереи» ... это то, что я ищу?

У меня вопрос: может ли наш существующий Azure AD, поставляемый с Office 365, разрешить такую ​​настройку единого входа с этим сторонним приложением, если оно размещено в Azure? Если да, есть ли ссылки или информация о том, как это сделать? Все, что я ищу, заканчивается тем, что я возвращаюсь к DirSync или подобному, и я знаю, что я ищу не DirSync.

Это то, что мне нужно на нашем портале Azure AD ниже?

Ваше настраиваемое приложение должно быть зарегистрировано в Azure AD как настраиваемое приложение в соответствии с потоком процесса на этом онлайн-руководство. Есть несколько вариантов интеграции вашего пользовательского приложения - вы можете использовать его на основе пароля или на основе федерации.

Если ваше приложение будет поддерживать аутентификацию на основе SAML, вы должны использовать федерацию, которая не рассматривается в приведенном выше руководстве, но имеет некоторые подробнее на MSDN в пара мест.

Обратите внимание, что для доступа к этой функции вы должны быть подписаны на уровни Azure AD Basic или Premium.

это рассказ о двух протоколах, Office365 поддерживает быструю настройку приложений, поддерживающих протокол OpenIDConnect, вероятно, вы вошли на этот сайт с помощью OpenID, предоставленного каким-либо доверенным поставщиком удостоверений: (вы должны иметь возможность войти здесь с помощью OpenID, предоставленного ваш O365)

SAML 2.0 является более полной реализацией веб-единого входа, но использует SOAP / XML, тогда как пользователи OpenIDConnect RESTful / JSON и поставщики услуг / серверы ресурсов (приложения) могут быть динамически зарегистрированы, но многие другие функции, которые вы будете искать, будут `` вне объем'

Поставщик удостоверений SAML AzureAD не является полной реализацией протокола, не поддерживает схему eduperson и не загружает метаданные с URL-адреса (например, из федерации).

Microsoft является членом фонда OpenID вместе со многими другими коммерческими заинтересованными сторонами, такими как Google, Facebook, Paypal или кто-либо еще с менталитетом «все ваши пользователи принадлежат нам», поэтому, естественно, они мешают Azure AD делать что-либо полезное, кроме поддержка базовой функциональности - хотите предоставить группе пользователей доступ к какому-либо приложению с портала? - это Azure AD Premium! - Портал, кстати, представляет собой просто составленный список приложений, поддерживающих вход в систему OpenID - SF также может быть указан там, это ничего не значит, это просто много наворотов, также перечислены приложения, поддерживающие протокол SAML и для этого потребуется некоторая конфигурация Azure AD и некоторая конфигурация рассматриваемого приложения, поэтому на самом деле бессмысленно даже перечислять их (на ярком портале), кроме как сообщить, что «это приложение поддерживает SAML». Azure AD также будет поддерживать прокси-сервер проверки подлинности, где приложение не поддерживает протокол единого входа, его можно настроить для одноразовой проверки подлинности, а затем запомнить учетные данные, поэтому он также обнаруживает эти жестокие взломы. Что забавно в крутых помощниках по AzureAD и Office365, так это то, что все начинается с DirSync - того самого зла, для устранения которого были изобретены эти протоколы - Вот! есть все мои пользователи ??? - так что в этом отношении AzureAD - это шуба, а не трусики.

Вы можете запустить все это в Домене, полную реализацию SAML с Shibboleth или связанный стек протоколов SSO с SAML и OpenIDConnect с чем-то вроде gluu https://www.gluu.org/gluu-server/overview/ он не поврежден, он бесплатный, и вам не нужно передавать всех своих пользователей какой-то третьей стороне с повесткой дня. Я не рекомендую ничего из вышеперечисленного - я просто сообщаю вам, что вам не нужен AzureAD, и чем больше вы участвуете в федерации удостоверений, тем более серьезным препятствием это станет без «дополнительных функций» двух протоколов. волонтеры этого сообщества работали изо всех сил, чтобы добиться успеха.