Fatal编程技术网
  • oauth-2.0/
  • Oauth 2.0 Active directory-使用OAuth2 OBO流的跨域信任

Oauth 2.0 Active directory-使用OAuth2 OBO流的跨域信任

oauth-2.0 azure-active-directory single-sign-on

Oauth 2.0 Active directory-使用OAuth2 OBO流的跨域信任,oauth-2.0,azure-active-directory,authorization,single-sign-on,spring-security-oauth2,Oauth 2.0,Azure Active Directory,Authorization,Single Sign On,Spring Security Oauth2,在审查/改进我们现有的安全体系结构方面需要一些帮助 这就是我们拥有的那种架构 用户登录流是由AD支持的Key斗篷。当用户登录到apring应用程序时,我们通过AD对其进行身份验证,并在Key斗篷中同步用户。但是,对于平台上的任何用户,用户必须首先登录 我们的钥匙斗篷实际上也被其他实体使用,用户仍然需要存在于系统中,即使他还没有完成登录过程 Azure AD是否提供了任何功能,让我们在开始登录时将所有用户从AD同步到Keyclope?是否有任何API或导出/导入功能可以帮助我们 在这种情况下,我

在审查/改进我们现有的安全体系结构方面需要一些帮助

这就是我们拥有的那种架构

用户登录流是由AD支持的Key斗篷。当用户登录到apring应用程序时,我们通过AD对其进行身份验证,并在Key斗篷中同步用户。但是,对于平台上的任何用户,用户必须首先登录

我们的钥匙斗篷实际上也被其他实体使用,用户仍然需要存在于系统中,即使他还没有完成登录过程

Azure AD是否提供了任何功能,让我们在开始登录时将所有用户从AD同步到Keyclope?是否有任何API或导出/导入功能可以帮助我们

在这种情况下,我们是否可以遵循其他方法/模式

在这方面的任何帮助都是非常感谢的

更新 这就是我们正在努力建立的。我们稍微改变了一下架构。现在可以存在KeyClope,但在这两种情况下,主身份验证代理都将是Azure AD。 给你-

然而,还有一个问题——为了获得无seemless的用户体验,Organization应用程序需要调用wallet API。要进行这些API调用,我们需要从钱包广告中获取访问令牌。考虑到信任是建立的,我假设用户将受到信任。然而,我无法理解在没有客户活动的情况下,我们如何从钱包广告中获得代币。

我们使用KeyClope中的委托授权流/身份提供者流解决了我们的用例。我们在钱包应用程序和组织应用程序中都添加了两个密钥斗篷

  • 组织应用程序中的keydape通过组织广告处理委托授权,因此我们保存在那里。这个流程已经就位,用户对此不可知
  • 在OrgKey斗篷上成功进行身份验证后,我们将用户带到Wallet Key斗篷,其中OrgKey斗篷被设置为身份提供者(IPA)。因此,用户将被带到OrgKey斗篷进行身份验证
  • 事实上,用户已经登录到组织密钥斗篷,使用户已经授权,并将其发送回钱包密钥斗篷,而无需任何用户操作,从而使其看起来毫无意义
  • 使用Org作为IPA,用户成功登录钱包应用程序,并带着另一个令牌返回,我们将其存储起来,以便将来与钱包API一起使用
    • 这就是它在现实中的样子- 请注意,图中的虚线是流程中的用户操作/重定向。我对它们进行了编号,以便更容易理解

    我们使用KeyClope中的委托授权流/身份提供者流解决了我们的用例。我们在钱包应用程序和组织应用程序中都添加了两个密钥斗篷

  • 组织应用程序中的keydape通过组织广告处理委托授权,因此我们保存在那里。这个流程已经就位,用户对此不可知
  • 在OrgKey斗篷上成功进行身份验证后,我们将用户带到Wallet Key斗篷,其中OrgKey斗篷被设置为身份提供者(IPA)。因此,用户将被带到OrgKey斗篷进行身份验证
  • 事实上,用户已经登录到组织密钥斗篷,使用户已经授权,并将其发送回钱包密钥斗篷,而无需任何用户操作,从而使其看起来毫无意义
  • 使用Org作为IPA,用户成功登录钱包应用程序,并带着另一个令牌返回,我们将其存储起来,以便将来与钱包API一起使用
    • 这就是它在现实中的样子- 请注意,图中的虚线是流程中的用户操作/重定向。我对它们进行了编号,以便更容易理解

    我想我解决了!很快就会发布解决方案。我想我已经解决了!很快就会发布解决方案。