我陷入了困境,缺乏经验,无法为我的项目提供指导,现向那些有Azure AD、SSO和Federation经验的人寻求指导。
我正在构建一个员工自助服务系统,使用Azure AD进行身份管理。我希望用户能够使用他们的员工 ID # 和密码登录,而不是他们的电子邮件地址;还应该有一个选项让用户使用他们的员工 ID # 和其他个人信息注册在线访问 - 他们的 Azure 身份已经由人力资源部门建立。
登录流程会将用户带到微软的登录页面,而微软的登录页面又会检测到用户需要通过自定义登录页面登录,并将他们重定向到那里。一旦他们登录后,我的服务器会将他们的身份传输到Azure AD,并根据Azure应用权限授予他们访问权限。
我只是真的很困惑,不知道如何开始设置,如果它甚至是可能的。我知道XSS,但使用SAML2的联盟和SSO不是安全的吗?
我是否需要使用一个联盟应用程序作为中间人,如Ping Identity?
谢谢你的帮助
使用例如Ping作为IDP一般不会有什么帮助,因为Azure AD已经是一个IDP。
微软Azure AD登录页面不能通过API访问,也不能定制到你想要的程度。
而且你只能用电子邮件地址登录,因为它是为域连接的企业客户设计的。
你可以通过Azure AD B2C和自定义策略来完成很多你需要的事情。这将允许你用用户名(=员工ID)登录,你可以创建工作流。
然后你可以将Azure AD和Azure AD B2C联合起来。
你的另一个选择是使用允许通过 API 进行身份验证的 IDP,例如 Auth0。
然后你可以有一个自定义的登录页面,根据情况进行身份验证。
使用Ping ID和其他类似产品是利用SSO的最快方式。