通过Azure AD身份验证(ADFS联邦)访问受onprem SAML/OAuth保护的SAP API
背景:通过Azure AD身份验证(ADFS联邦)访问受onprem SAML/OAuth保护的SAP API,oauth,azure-active-directory,saml,adfs,sap-gateway,Oauth,Azure Active Directory,Saml,Adfs,Sap Gateway,背景: AD域、AAD连接、Office365租户 已部署ADF,AD和AAD之间的联合 SAP GW内部部署,配置SAML和OAuth SAP GW不支持与AAD的集成(仅支持SAML SSO,需要使用自己的OAuth服务器) 范围: 我正在尝试在SharePoint online中构建一个应用程序,通过身份验证的用户可以: 从SAP网关获取数据(代表用户) 从Microsoft Graph获取数据 设计(至今): 用户可以访问Office 365并通过ADFS进行身份验证 使用AD
- AD域、AAD连接、Office365租户
- 已部署ADF,AD和AAD之间的联合
- SAP GW内部部署,配置SAML和OAuth
- SAP GW不支持与AAD的集成(仅支持SAML SSO,需要使用自己的OAuth服务器)
- 从SAP网关获取数据(代表用户)
- 从Microsoft Graph获取数据
- 用户可以访问Office 365并通过ADFS进行身份验证
- 使用ADAL/MSAL,我能够从AAD获取OAUTH令牌,并从Graph获取数据(通过在AAD中注册具有Graph权限的企业应用程序来支持)
- 如果我尝试访问onprem SAP API,则SAP OAuth Server onprem不会验证AAD生成的OAuth令牌
- 我是否应该直接从ADFS获取另一个SAML断言,以便为SAP OAuth服务器获取另一个OAuth令牌以访问本地SAP API?如果是这样,我如何从ADFS获取SAML断言(调用SAP OAuth服务器),而不传递给ADFS用户凭据(如本例中:),并使用用户会话中可用的信息(已通过AAD验证)
- 有没有办法将ADF配置为接受源自AAD的SAML断言/JWT令牌
- 我应该做点别的吗