Ищу для руководства по этому вопросу, поскольку я действительно застрял в этом, у меня есть внутренний URL-адрес приложения, сделанного на PHP, и я хочу подключиться к Azure Active Directory.
До сих пор я рассмотрел пример из Microsoft с использованием SimpleSAML, но он действительно устарел, и у меня возникли проблемы, адаптирующие его для более нового кода SimpleSAMl.
Есть ли лучший способ интегрировать веб-приложение с Azure AD? Я где-то читал, что могу использовать «Начало работы с мобильными службами», но я хотел бы узнать из предыдущего опыта о том, что является лучшим / текущим методом для использования Azure AD для входа на PHP ?.
— РЕДАКТИРОВАТЬ —
Посредством интеграции я имею в виду, чтобы пользователи могли аутентифицировать и получать адрес электронной почты или EmployeeID из Azure AD для обеспечения поддержки SSO.
Существует несколько сценариев, поддерживаемых Azure AD, в зависимости от того, для чего вы используете Azure AD. В принципе, для доступа к ресурсам через Azure AD из веб-приложения PHP вы можете обратиться к разделу « Веб-приложение в веб-интерфейс », чтобы понять этот сценарий и начать работу.
Чтобы интегрировать Azure AD в веб-приложения PHP, нам необходимо выполнить шаги потока предоставления кода авторизации для создания нескольких пользовательских HTTP-запросов. EG. Чтобы получить токен доступа через протокол OAuth 2.0, мы должны обратиться к шагам по потоку предоставления авторизационных кодов , как правило, мы создадим 2 HTTP-запроса для доступа к токену доступа:
1, Запрос авторизационного кода
URL-адрес наращивания будет перенаправлен на страницу sso, после входа в систему мы получим значение code
которое будет использоваться в следующем шаге.
2, используйте код авторизации для запроса маркера доступа:
Затем мы можем использовать токен доступа, чтобы добавить строку JWT с обозначением «Bearer» в заголовке авторизации запроса в веб-API ресурса.
Вот вам тестовый проект PHP, предоставленный Azure для справки.
мы переносим наш AD в Azure AD, и мы хотели бы иметь поддержку SSO для внутренних веб-приложений, так что, когда они войдут в свои ПК, используйте прокси-сервер azure и они будут автоматически подписаны на веб-приложениях PHP. Это возможно?
@Vladimir, Основываясь на моем опыте, это возможно. Есть несколько сценариев, на которые вы можете ссылаться. Возможно, вам понадобится использовать Azure AD Connect для синхронизации локального AD с Azure AD и включить SSO Azure AD для интеграции с вашим php-приложением в вашем сценарии.
Во-первых, если вы хотите интегрировать свой локальный AD на Azure AD, вы должны использовать инструмент Azure AD Connect, который используется для синхронизации вашего AD с Azure AD. Пожалуйста, ознакомьтесь с этими руководствами и видео . Для этого действия вам нужно разрешение ИТ-администратора.
Во-вторых, вам необходимо использовать Federated Single Sign-On и другие методы для вашего приложения на Azure Portal. Возможно, вам нужно настроить ваше приложение PHP, как это видео: https://channel9.msdn.com/Blogs/Open/Using-SimpleSAML-to-authenticate-PHP-applications-with-Azure-AD . И если вы хотите получить информацию о пользователях, вам может понадобиться использовать Azure Graph API в качестве сообщения Gary.