将office 365与ADFS以外的基于自定义SAML的身份提供程序集成
我们目前正在使用基于Saml的身份提供者(Idp),该提供者生成Saml响应,以允许SSO访问谷歌应用程序。我们希望支持使用java的Office 365。
我正在查看Office 365的所有留档,据我所知,它使用SAML,但前提是由ADFS(Active Directory联合身份验证服务)或任何其他联合身份验证服务提供。是否可以将office 365配置为使用我的Idp进行身份验证,而不依赖于ADFS和活动目录(AD)。如果是,您能否详细说明如何配置相同的。我尝试过使用powershell管理Office 365,但在使用Connect MsolService连接到office 365后尝试执行此命令时失败。
我得到一个错误:
Convert-MsolDomainToFederated : Failed to connect to Active Directory Federation Services 2.0 on the local machine.Please try running Set-MsolADFSContext before running this command again.
这对谁有用吗。请建议
我已经引用了这个msdn1和msdn2链接。
谢啦
共有1个答案
您需要按照此处“为联合身份验证配置Office 365租户中的域”下的说明进行操作。
因为“主动”需要STS,而“被动”则需要SAML(除非您有新的符合ADAL的O365厚客户端,但这些客户端与第三方供应商的配合不太好)。如果有用于活动的STS,则需要MetadataExchangeUri。
您正在使用Set-MsolDomainAuthentication的此链接:
Set-MsolDomainAuthentication -Authentication federated -DomainName <string> [-ActiveLogOnUri <string>] [-FederationBrandName <string>] [-IssuerUri <string>] [-LogOffUri <string>] [-MetadataExchangeUri <string>] [-PassiveLogOnUri <string>] [-SigningCertificate <string>]
正如我所说,只有在有STS可用的情况下,才需要“活动”。
他们在第一个链接上给出的例子非常好,你应该得到这样的结果:
$dom = "contoso.com"
$BrandName - "Sample SAML 2.0 IDP"
$LogOnUrl = "https://saml.contoso.com/samlLogonEndpoint"
$LogOffUrl = "https://saml.contoso.com/SamlLogOffEndpoint"
$stsUrl = "https://saml.contoso.com/PAOS"
$MyURI = "urn:uri:MySamlp2IDP"
$MySigningCert = @" --- YOUR CERT HERE ---" "@
$entityID = "http://saml.contoso.com"
$Protocol = "SAMLP"
Set-MsolDomainAuthentication ` -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $LogOnUrl -ActiveLogOnUri $stsUrl -SigningCertificate $MySigningCert -IssuerUri $entityID -LogOffUri $LogOffUrl -PreferredAuthenticationProtocol $Protocol
-
我需要使用谷歌身份提供商Hi将SAML 2.0与我们的应用程序集成 我们的应用程序目前在其架构中使用谷歌云平台和Firebase,我被指派使用Okta将SAML 2.0集成到应用程序中。我对两个平台上的不同术语感到困惑。我一直在Okta和谷歌云平台上遵循指南,但仍然无法成功解决这个问题。 我的问题来自Okta和谷歌云平台,我将在这里逐一提问 Okta创建一个新的应用程序时 受众URI(SP实体ID
-
我想为我的web应用程序实现单点登录功能。 我们的团队使用Spring框架,它似乎支持CAS作为其SSO身份验证技术。 CAS似乎对管理本地用户非常有用,但是(如果我错了,请纠正我)它通过SAML对联邦用户的支持似乎是缺乏的。 我想知道是否有人有将CAS与外部SAML身份提供商(如Salesforce)集成的经验。i、 例如,外部公司将对其用户进行身份验证,并让我们知道哪些用户应该有访问权限,而不
-
我正在尝试将openam配置为身份提供程序以测试我的基于SAML的服务提供程序应用程序。 我搜索了很多,看到了openam的文档。openam支持很多东西,我现在可能不需要这些东西。我不希望阅读整个文档,因为这将花费大量时间阅读我现在不想测试的内容。我甚至在网站上看到了chatpet 9“管理SAML 2.0 SSO”http://docs.forgerock.org/en/openam/10.0
-
我有一个Java桌面应用程序。我发现了很多关于web应用SSO身份验证的在线资源。我需要一个旧的学校桌面应用程序同样的东西。基本上,我需要该应用程序打开浏览器窗口,让用户根据ADF进行身份验证,然后取回令牌。 如何使用ADFS/SAML添加SSO身份验证?
-
我正在使用omniauth saml对Ruby on Rails应用程序上的用户进行身份验证。 身份验证一直运行良好,直到我们声明尝试与使用ADFS(Windows Active Directory)的公司合作。 我们的应用程序能够路由到ADFS登录屏幕,进行登录操作,当ADFS重定向回我们的应用程序时,我们会看到错误消息: 通过调试,我们可以看到omniauth saml生成了此消息。 通过挖掘
-
我已经创建了身份提供程序,并且从浏览器中它工作正常。 参考:密钥斗篷身份提供程序后代理登录抛出错误 从浏览器,我可以使用外部IDP登录,如果外部IDP用户不在keycloak中,它会在keyclock中创建,这绝对没问题,并重定向到仪表板。 但我的问题是,我们如何用keycloak rest api实现这个流程? 是否有任何api用于使用外部IDP登录,并将获得外部IDP的令牌以及密钥斗篷的令牌?