Использование стороннего поставщика личности в Office 365
-
24-10-2019 - |
Вопрос
В настоящее время мы используем внутреннее решение SSO, используя 2-факторную аутентификацию, которая генерирует SAML, чтобы позволить SSO в Google Apps и Salesforce. Мы надеемся разрешить поддержку Office 365.
Я смотрю на всю документацию для Office 365, и из того, что я вижу, он использует SAML, но только в случае предоставления ADF.
Можно ли использовать Office 365 с чистым решением SAML? Или возможно использовать ADF с другим поставщиком идентификаторов (так что не активный каталог).
Я видел образец с Tivoli IP, но я не совсем понимаю роли, если я все это понимаю, он фактически определяет фактическую аутентификацию от ADF до Тиволи, но это правильно? Если бы это было правдой, это было бы хорошо :)
Помимо этого, из моей экспедиции Google я вижу следующие варианты, чтобы использовать наше собственное решение SSO с Office 365:
- Адаптируйте страницу входа в систему из ADFS (ASPX) и добавьте наше решение 2FA там. (источник)
- Используйте Forefront UAG, но не уверен, что это именно означает (источник)
- Используйте услугу, которая притворяется, что ведет себя как ADFS (источник -в комментариях)
- Используйте SAML для федерации аутентификации (если я правильно понимаю) (источник)
Из 3. Я бы сделал вывод, что 4. невозможно, но это просто старая информация и теперь больше не действительна?
Спасибо за любые полезные идеи :)
Решение
Технически говоря, в Office 365 нет ничего, что требует ADF. SSO может быть сделан с любым сервером федерации, который может отправлять правильный тип сообщений и токенов. (Я знаю, потому что я это сделал.) Если ваше решение SSO издает правильный тип данных, вы можете использовать их. Могут быть Microsoft SLA и проблемы поддержки с использованием сервера федерации, кроме ADF. Проверьте это в первую очередь. Если вы хотите повторно использовать свою существующую инфраструктуру федерации и нуждайтесь в помощи, Стреляй меня в записку.
Другие советы
Просто убедитесь, что решение SAML поддерживает как пассивный, так и активный профиль (ECP). Пассивный профиль требуется для входа в Интернет. Активный/ECP необходим для поддержки толстых клиентов, таких как Outlook, Thunderbird и т. Д. Мы получили оба профиля для работы.