[英]Bypass Azure AD SAML
我在我的 AD 上设置了 SAML,我有私有和证书 PEM 以及证书和元数据,我想知道是否可以绕过 API 的登录? 我正在开发一个 Node.JS API,我想向 SAML 登录后面的服务器发出请求,但我需要用我得到的东西绕过它。
也许从 Azure 的 API(用作不记名授权)生成令牌的方法会像使用 OAuth 那样工作?
我不要求任何其他解决方案(如白名单等),我只需要它是基于令牌/ API
要绕过 azure 广告,您可以选择代理流程。
只有在您尝试使用代表流程获取访问令牌时已经授予相应权限(范围授予)时,这才会起作用。
这里 API A 向 Microsoft 身份平台令牌颁发终结点进行身份验证,并请求令牌访问 API B。
https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
with grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
client_id=xxx
&client_secret=saxx1s
&scope=https://graph.microsoft.com/user.read+offline_access
&requested_token_use=on_behalf_of
这里我们需要公开 api 在这里我给 user.read
并暴露api
响应有访问令牌、刷新令牌
{
"token_type": "Bearer",
"scope": "https://graph.microsoft.com/user.read",
"expires_in": 3269,
"ext_expires_in": 0,
"access_token": "xx",
"refresh_token": "xxxx"
}
请检查Microsoft 身份平台和 OAuth2.0 On-Behalf-Of 流程 - Microsoft Entra | 微软学习
参考: 如何使用 azure-ad-access-token-to-bypass-microsoft-online-login
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.