ADFS-Unterstützung

mit Active Directory-Verbunddienste (AD FS) (AD FS) in Windows Server können Sie OpenID Connect und OAuth 2.0-basierte Authentifizierung und Autorisierung zu Anwendungen hinzufügen, die Sie entwickeln. Diese Anwendungen können Benutzer direkt gegen AD FS authentifizieren. Weitere Informationen finden Sie unter AD FS-Szenarien für Entwickler.

Es gibt in der Regel zwei Möglichkeiten der Authentifizierung für AD FS:

  • MSAL stellt eine Verbindung mit Microsoft Entra ID, die dann mit AD FS verbunden ist.
  • MSAL stellt eine direkte Verbindung mit einer AD FS-Autorität bereit.

MSAL4J unterstützt beide Flüsse.

MSAL stellt eine Verbindung mit Microsoft Entra ID, die dann mit AD FS verbunden ist.

MSAL4J unterstützt die Verbindung mit Microsoft Entra ID, die verwaltete Benutzer (in Microsoft Entra ID verwaltete Benutzer) oder Verbundbenutzer (Von einem anderen Identitätsanbieter wie AD FS verwaltete Benutzer) anmeldet. MSAL4J weiß nichts davon, dass es sich bei den Benutzern um Verbundbenutzer handelt. Was es angeht, kommuniziert es mit Microsoft Entra ID.

Die in diesem Fall verwendete Autorität ist die übliche Autorität (Hostname der Autorität + „tenant“, „common“ oder „organizations“).

Interaktives Abrufen eines Tokens für Verbundbenutzer

Wenn Sie AcquireToken mit AuthorizationCodeParameters oder DeviceCodeParameters aufrufen, ist die Benutzererfahrung typischerweise wie folgt:

  1. Der Benutzer gibt seine Konto-ID ein.
  2. Microsoft Entra ID zeigt kurz die Meldung „Sie werden zur Seite Ihrer Organisation weitergeleitet“ an. Der Benutzer wird zur Anmeldeseite des Identitätsanbieters umgeleitet. Die Anmeldeseite wird in der Regel mit dem Logo der Organisation versehen.
  3. Unterstützte AD FS-Versionen in diesem Verbundszenario sind AD FS v2, AD FS v3 (Windows Server 2012 R2) und AD FS v4 (AD FS 2016).

MSAL stellt eine direkte Verbindung mit einer AD FS-Autorität bereit.

MSAL4J bietet Unterstützung für die direkte Authentifizierung mit AD FS 2019. In diesem Fall können Sie beim Initialisieren des Clients die ADFS-spezifische Autoritäts-URL für MSAL4J angeben. Der Authority-Wert sollte etwa so aussehen wie https://adfs.contoso.com/adfs.

Erwerb eines Tokens mit AcquireToken unter Verwendung von IntegratedWindowsAuthenticationParameters oder UsernamePasswordParameters

Wenn mit AcquireToken unter Verwendung von IntegratedWindowsAuthenticationParameters oder UsernamePasswordParameters ein Token angefordert wird, ermittelt MSAL4J anhand des Benutzernamens, welcher Identitätsanbieter kontaktiert werden soll. MSAL4J empfängt nach dem Kontaktieren des Identitätsanbieters ein SAML-Token. MSAL4J übermittelt dann das SAML-Token als Benutzerassertion an Microsoft Entra ID, um ein JWT zurückzuerhalten (ähnlich dem On-Behalf-Of-Flow).