У нас есть Microsoft Active Directory Federation Services (ADFS) в качестве нашего поставщика аутентификации / федерации. Мы используем его для выполнения федерации удостоверений через SAML с несколькими внешними поставщиками, поставщиками SaaS и т. Д. Кроме того, у нас есть несколько поставщиков, которые поддерживают только OAuth, поэтому мы настроили интеграцию с этими поставщиками, используя поддержку OAuth ADFS 2016. Таким образом, мы можем генерировать как утверждения SAML, так и токены доступа OAuth, если это необходимо.
Теперь мы столкнулись с ситуацией, когда поставщику A (настроенному для проверки подлинности SAML) необходимо выполнить вызов службы RESTful поставщику B (настроенному на требование токенов OAuth). Есть ли способ преобразовать утверждение SAML, созданное ADFS, в токен OAuth, созданный ADFS? Учитывая, что обе учетные данные генерируются ADFS, я бы подумал, что ADFS сможет выполнить преобразование. Есть ли конечная точка, где я могу отправить утверждение SAML и вернуть токен OAuth взамен? Любая помощь будет очень признательна!
Хотя я не могу дать вам и ответить по поводу ADFS и Oauth, я могу дать вам некоторый опыт в отношении интеграции двух разных веб-систем единого входа, что может дать вам повод для размышлений.
В моей ситуации я хотел получить Shibboleth IdP (ту же роль, что и ADFS с SAML 2.0), чтобы использовать существующую частную систему единого входа.
Я настроил своего IdP на использование «внешней» аутентификации, и в этом случае у меня была проприетарная система SSO, защищающая только внешний URL-адрес аутентификации; чтобы при входе в систему люди попадали по URL-адресу external-auth --- и работали через другую систему SSO --- затем возвращались в состоянии аутентификации, чтобы пройти через URL-адрес external-auth к IdP, который затем предоставит им сеанс.
Это показывает, что вы на самом деле не «конвертируете» одну систему в другую, но вы можете преобразовать одну систему в другую, используя внешнюю аутентификацию.
Предупреждение: выход из системы становится все более серьезной проблемой. Мне пришлось настроить шаблоны SLO, которые поставляются с IdP, чтобы интегрировать и другие системы выхода из системы ... ADFS не будет такой гибкой.
Ура, Кэмерон