语境:
- AD 域、AAD Connect、Office365 租户
- ADFS 部署,AD 和 AAD 之间的联合
- 本地 SAP GW,配置了 SAML 和 OAuth
- SAP GW 不支持与 AAD 集成(仅支持 SAML SSO,需要使用自己的 OAuth 服务器)
范围:
我正在尝试在 SharePoint Online 中构建一个应用程序,经过身份验证的用户可以:
- 从 SAP 网关获取数据(哦,代表用户)
- 从 Microsoft Graph 获取数据
设计(到目前为止):
- 用户访问 Office 365 并使用 ADFS 进行身份验证
- 使用 ADAL/MSAL,我可以从 AAD 获取 OAUTH 令牌并从 Graph 获取数据(通过在 AAD 中注册具有 Graph 权限的企业应用程序来支持)
问题:
- 如果我尝试访问 onprem SAP API,SAP OAuth Server onprem 不会验证 AAD 生成的 OAuth 令牌。
我应该怎么办?
我是否应该直接从 ADFS 获取另一个 SAML 断言,以便为 SAP OAuth 服务器获取另一个 OAuth 令牌以访问本地 SAP API?如果是这样,我如何从 ADFS 获取 SAML 断言(调用 SAP OAuth 服务器)而不传递给 adfs 用户凭据(如本例中:https ://docs.microsoft.com/en-us/azure/active- directory/develop/v2-saml-bearer-assertion)并使用用户会话中可用的信息(已通过 AAD 验证)?
有没有办法将 ADFS 配置为接受来自 AAD 的 SAML 断言/JWT 令牌?
我应该做点别的吗?
关于我如何支持这种情况的任何想法?
谢谢