Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Serviços de Federação do Active Directory (AD FS) (AD FS) no Windows Server permite-lhe adicionar OpenID Connect e autenticação e autorização baseadas em OAuth 2.0 às aplicações que está a desenvolver. Essas aplicações podem autenticar os utilizadores diretamente contra AD FS. Para mais informações, leia Cenários AD FS para Desenvolvedores.
Normalmente existem duas formas de autenticar contra AD FS:
- O MSAL liga-se ao Microsoft Entra ID, que depois se federa ao AD FS.
- O MSAL liga-se diretamente a uma autoridade AD FS.
O MSAL4J suporta ambos os fluxos.
O MSAL liga-se ao Microsoft Entra ID, que depois se federa para o AD FS
O MSAL4J suporta a ligação ao Microsoft Entra ID, que inicia sessão de utilizadores geridos (utilizadores geridos no Microsoft Entra ID) ou de utilizadores federados (utilizadores geridos por outro fornecedor de identidade, como o AD FS). O MSAL4J não sabe que os utilizadores são federados. No que lhe diz respeito, comunica com o Microsoft Entra ID.
A autoridade que usas neste caso é a autoridade habitual (nome do anfitrião da autoridade + inquilino, comum ou organizações).
Aquisição interativa de um token para utilizadores federados
Quando chama o AcquireToken com AuthorizationCodeParameters ou DeviceCodeParameters, a experiência do utilizador é tipicamente:
- O utilizador insere o seu ID de conta.
- O Microsoft Entra ID mostra brevemente a mensagem "A encaminhá-lo para a página da sua organização". O utilizador é redirecionado para a página de início de sessão do fornecedor de identidade. A página de início de sessão é geralmente personalizada com o logótipo da organização.
- As versões suportadas do AD FS neste cenário federado são AD FS v2, AD FS v3 (Windows Server 2012 R2) e AD FS v4 (AD FS 2016).
O MSAL liga-se diretamente a uma autoridade AD FS
O MSAL4J fornece suporte para autenticação direta com AD FS 2019. Neste caso, pode fornecer o URL de autoridade específico do ADFS ao MSAL4J ao inicializar o cliente. O valor de autoridade deve ser algo como https://adfs.contoso.com/adfs.
Aquisição de um token usando AcquireToken com Integrated WindowsAuthenticationParameters ou UsernamePasswordParameters
Ao adquirir um token usando o AcquireToken com IntegratedWindowsAuthenticationParameters ou UsernamePasswordParameters, o MSAL4J determina o fornecedor de identidade a contactar com base no nome de utilizador. O MSAL4J recebe um token SAML após contactar o fornecedor de identidade. O MSAL4J fornece então o token SAML ao Microsoft Entra ID como uma asserção do utilizador (semelhante ao on-behalf-of-flow) para recuperar um JWT.