SSO с офисом 365

Question

На данный момент у нас есть веб-сайт, и мне нужно сделать его общедоступным, но вам нужно, чтобы пользователи входили в систему со своим именем пользователя и паролем своего офиса 365.

Моя проблема в том, что я везде искал и не могу найти реализацию для серверов ubuntu.

Я также видел множество случаев синхронизации учетных записей офиса 365 с внутренними учетными записями AD, но не наоборот.

В идеале это должно быть реализовано посредством единого входа.

Answer 1

Вам необходимо зарегистрировать свой сайт в качестве приложения Azure AD, которое предоставит вам секрет приложения и приложения. Затем вашему веб-сайту потребуется реализовать поток oauth 2.0. Microsoft предоставляет библиотеки для большинства платформ, но если у них их нет, все доступно через вызовы REST.

Answer 2

Есть два наиболее вероятных подходов для достижения этой цели:

1. Настройка SAML SSO в приложении затем использовать Azure AD как IdP (как в Bernhard's comment). Это позволит вашему приложению получить информацию, переданную в токене Saml. Вам все равно нужно представить сайт в Интернете через какой-то обратный прокси
2. Рассмотрите возможность размещения своего сайта за Azure App Proxy. Это позволит вам публиковать сайт через Интернет, не открывая какие-либо порты брандмауэра, и позволит вам использовать KCD для входа в систему без необходимости настраивать что-либо в своем приложении, просто включив Windows Integrated Authentication. Это дает два очень важных преимущества: 1) Не прошедшие проверку посетители не могут попасть на сайт вообще, обеспечивая значительную защиту от DDoS/атак; 2) Никаких обратных прокси-серверов или других устройств не требуется, обычно