我正在尝试使用 SCIM 将自定义应用程序与 Entrea(以前称为 Azure AD)集成来处理用户停用,但我需要一些有关连接安全性的建议。
第一个选项相对简单,但是,这并不是我真正喜欢使用的,因为您需要信任存储令牌的处理。如果我要生成令牌,我需要将其安全地发送给我的客户,并且我无法确定是否因为客户处理令牌不当而发生了事件。
因此,我正在研究第二个选项,它看起来像动态 JWT 令牌,具有足够的信息来识别来自正确租户的请求,我们应该(或者我认为)可以使用 Azure 提供的公钥进行验证。但是...有关 Microsoft Entra 令牌的段落以:“Microsoft Entra 配置服务生成的令牌只能用于测试。它不应该在生产环境中使用。” 我无法理解为什么添加这一行,对我来说理论上它听起来是两行中最安全的一行?
第二个选项存在一些细微的安全问题,不适合生产使用,因此文档中有注释。
如果您的应用程序通过 AAD/Entra 自定义非库应用程序的通用 SCIM 连接器使用,则需要为您的客户生成长期存在的不记名令牌。如果这是一个多租户应用程序,并且您打算将其列在 Entra Enterprise 应用程序库中,则可以将库集成配置为支持 OAuth 2.0 授权代码授予流程或客户端凭据授予流程。