绕过 Azure AD SAML

Question

我在我的 AD 上设置了 SAML，我有私有和证书 PEM 以及证书和元数据，我想知道是否可以绕过 API 的登录？ 我正在开发一个 Node.JS API，我想向 SAML 登录后面的服务器发出请求，但我需要用我得到的东西绕过它。

也许从 Azure 的 API（用作不记名授权）生成令牌的方法会像使用 OAuth 那样工作？

我不要求任何其他解决方案（如白名单等），我只需要它是基于令牌/ API

Answer 1

要绕过 azure 广告，您可以选择代理流程。

• 对于单页应用程序 (SPA)，我们在这里将访问令牌传递给中间层机密客户端以执行 OBO 流。

只有在您尝试使用代表流程获取访问令牌时已经授予相应权限（范围授予）时，这才会起作用。

这里 API A 向 Microsoft 身份平台令牌颁发终结点进行身份验证，并请求令牌访问 API B。

https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
with grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
client_id=xxx
&client_secret=saxx1s
&scope=https://graph.microsoft.com/user.read+offline_access
&requested_token_use=on_behalf_of

这里我们需要公开 api 在这里我给 user.read

并暴露api

响应有访问令牌、刷新令牌

{
  "token_type": "Bearer",
  "scope": "https://graph.microsoft.com/user.read",
  "expires_in": 3269,
  "ext_expires_in": 0,
  "access_token": "xx",
  "refresh_token": "xxxx"
}

请检查Microsoft 身份平台和 OAuth2.0 On-Behalf-Of 流程 - Microsoft Entra | 微软学习

参考： 如何使用 azure-ad-access-token-to-bypass-microsoft-online-login