我们有内部工具,并通过SSO Azure AD访问。我很想知道这个Azure AD如何针对windows凭证进行验证。例如说,1)我们有内部的DEV环境。https::authv1sessionprofile,所以当我调用这个实例时,它重定向至 https:/login.microsoftonline.com。oauth2authorize?response_type=code&scope=directory.read.all&response_mode=query&redirect_uri=&client_id=>&resource=&state=&nonce=&sso_nonce=&mscrid= .2) 输入电子邮件id后,它重定向到https::authv1token,并将JWT令牌作为响应。 所以很想知道在#1中,login.microsoftonline.com是如何验证我是授权用户的。它是在内部获取windows凭证还是从我的windows系统中获取一些会话?请说明一下。
这取决于你的混合环境是如何设置的,你可以在这里看到选项。https:/docs.microsoft.comen-usazureactive-directoryhybridchoose-ad-authn。.
它可能会将你重定向到ADFS来登录,它计算出你已经登录到公司网络,并做某种Kerberos魔法来登录你。
参考文献。https:/docs.microsoft.comen-usazureactive-directoryhybridwhatis-fed---。
或者你可能启用了例如密码散列同步 + 无缝单点登录,在这种情况下,Azure AD 或者针对你的内部部署 AD 进行 Kerberos 身份验证,或者在幕后使用你的 Azure AD 加入机器的主刷新令牌。
参考文献。https:/docs.microsoft.comen-usazureactive-directoryhybridhow-to-connect-sso。