以Azure为例的SSO

最新推荐文章于 2024-09-29 16:27:58 发布
原创 最新推荐文章于 2024-09-29 16:27:58 发布 · 1.7k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#azure #microsoft #前端

由于文章的篇幅有限,无法将全部的代码贴上来,如想要看完整案例,请在公众号文章中留言(其他平台很少看…毕竟最近印度同事的UI组件库搞得我好烦)

1.关于SSO

单点登录又称之为SSO,全称为 Single Sign On ,一般在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

比如,当我们使用一个腾讯旗下的产品时,我们一般会接入QQ登陆,此时就可以认为QQ登陆为我们的SSO。只要我们登录了QQ,就可以根据凭证获取到你在QQ中的信息,并登录该平台。

2.SSO流程

无论使用第三方或者是自己的sso,下面将以一个开发人员的角度,以QQ作为例子讲解一个SSO的过程,

1.当用户第一次登录平台A的时候,由于该平台使用了QQ的服务去获取用户信息,该平台会自动调用QQ的服务(比如跳转QQ登录),此时我们会设置一个RedirectURL的参数到qq的login服务上。

2.当用户从qq登录后,qq的后台服务会根据我们的 RedirectURL 参数,将一个token传到我们的Redirect的地址。

3.当我们的服务接收到了来自QQ服务器的一个重定向请求,且该请求还会带一个token,我们可以根据QQ文档去调用Api获取我们想要的信息,比如获取用户信息等。

4.当我们获取到用户的信息之后,我们用 JsonWebToken 的形式重新去设置我们的token,并且使用其作为前后端通讯的token。

在上述的过程中,我们使用第三方的SSO,是基于以下几个原因

  • qq本质上提供了用户的信息给我们,并且提供了一个便捷的,获取用户信息的api。
  • QQ作为一个维护多年的平台,对于权限以及用户管理等模块已经很完善了
  • 我们自己开发的话,我们需要花费大量的时间和精力,还不能保证一定没问题

3.关于Azure

上面的过程中,已经知道SSO的流程,想必大家都已经对SSO有了初步的认知,而选择一个SSO是要根据市场以及客户所用的SSO有关,比如对于外企,我们会选择Azure作为SSO,而不是选择很少外国人用的QQ。

Microsoft Azure 作为微软云计算,大公司背书.

最主要是我们的客户选择使用它,所以下面的例子会以其作为例子

4.使用SSO

不同平台的sso参数思路‘大差不差’,都是用 AppID + AppScrect 这一套,所以下面的例子也按照这个套路来介绍。

1.准备各类参数,其中最主要的参数是CLIENT_ID,TENANT_ID,CLIENT_SECRET。

//当前域名
LOGIN_REDIRECT=https://xxx.com
//重定向地址
OAUTH2_REDIRECT_URL=https://xxx.com/user/login_callback
//client_id,在app的详情中查看,由管理员给的
OAUTH2_CLIENT_ID=6aaaaaae-7aaa-4aaa-baaa-aaaaaaaaad89
//tent_id,可以理解为密钥。由管理员给的
OAUTH2_TENANT_ID=4266ec6c-fe9f-4893-82e9-996189e0b81b
//在Azure上生成的,验证机器是否允许登录
OAUTH2_CLIENT_SECRET=mvaaa~.qLgH8aaaaaaaaaTpnWaLD9Em-H3Z6gb_T

2.准备我们的登陆接口重定向到auzre的登陆接口

当用户调用我们的登陆接口时,我们会马上调用到Azure的服务去登陆。

  @Get('user/login')
  login(@Response() res) {
    res.redirect(this.userServie.processLogin());
  }
​

此时,浏览器的弹窗如下:

3.登陆成功后获取到用户的凭证

@Get('user/login_callback')
  async loginCallback(@Request() req, @Response() res) {
    let code = '';
    if (req.query.code) {
      code = req.query.code;
      const tokenInfo = await this.userServie.getAccessTokenByCode(code, req.log);
      // if redirect error, check cookie has refresh_token
      if (tokenInfo.error) {
        req.log.error(`user login callback error will redirect to login`);
        res.redirect('/login');
      } else {
        const { claimsInfo, user, groups } = this.userServie.processAccessToken(tokenInfo.access_token);
​
        if (!groups.includes(environmentConfig.azure.adGroupName)) {
          req.log.error('User not in AD group');
          res.status(400).json({ message: 'User not in AD group' });
        }
​
​
        req.log.info(`login user name is ${user.id}`);
        const redirectUrl = `${environmentConfig.cx.frontend_url}?t=${claimsInfo}`;
        res.redirect(redirectUrl);
      }
    } else {
      req.log.error('ADFS grant code not found');
      res.status(400).json({ message: 'ADFS grant code not found' });
    }
  }
​

上述代码中,流程在于获取到了azure的token之后,调用api获取用户信息,并生成新的token并给到前端。

4.根据凭证获取到用户的信息。

在上述代码中,我们完成了整个流程,但是最主要的核心代码如下

processAccessToken(azureToken) {
    const auzraUserInfo = JWT.decode(azureToken);
    const {
      onPremisesSamAccountName = '',
      cn = '',
      name = '',
      family_name = '',
      given_name = '',
      username = '',
      groups = []
    } = auzraUserInfo;
    let adKeyWord = '';
    let userName = '';
      adKeyWord = name;
      userName = `${given_name} ${family_name}`;
    const jwtToken = JWT.sign(
      {
        cn: adKeyWord,
        sAMAccountName: adKeyWord,
        username: userName,
        auth: 'saml',
        thumbnail: ''
      },
      environmentConfig.cx.jwt_token_secret,
      // { expiresIn: 7 * 24 * 60 * 60 }
      { expiresIn: 1 * 24 * 60 * 60 }
    );
    return { claimsInfo: jwtToken, user: { id: userName }, groups: groups };
  }

至此,一个流程就结束了,我们将生成的 token 放到前端就可以了。

需要注意的是,我们的凭证是有expiry date的。

多谢关注~ 公众号求关注~

公众号文章

mkmin
关注
Azure AD SSO登录问题与解决方案
m0_62153576的博客
07-24 86
本文探讨了Azure AD单点登录(SSO)在PHP应用中遇到的会话变量丢失问题。通过分析可能的原因,包括session未启动、输出顺序问题和缓冲区设置等,提出了四个关键解决方案:确保welcome.php调用session_start()、使用输出缓冲控制流、调整代码结构以及正确配置重定向URL。这些措施共同确保了Azure AD登录后会话数据的正确传递,解决了单点登录过程中的会话管理问题,为构建稳定的SSO系统提供了实用方法。
.Net5中实现Azuread +Oauth2 实现 SSO
Code365
06-30 731
Azuread +Oauth2 实现 SSO 单点登录目前实现比较多的一种方式Oauth2,以下将如何对接Azure的Oauth2分下面几个步骤实现。
Azure上使用SAML方式配置单点登录 SSO
shrenk的专栏
10-22 9157
MS Azure支持SSO单点登陆的配置(SAML方式,密码方式)。单点登陆包含三个角色,一个是Service Provider,也就是应用程序提供者,一个是User Agent,如浏览器,第三个是Identity Provider,也就是身份定义者。单点登陆的过程如下所示 下面是在Azure中,使用SAML方式配置SSO的过程,Azure作为Identity Provider。 1,创...
Mendix 使用OIDC组件实现SSOAzure Microsoft Entra ID 集成(原名:AD)
多年搬砖的经验分享...
03-06 2355
SSO 按钮设置到OIDC 的 Login_Web_Button 的页面中,用于选择SSO的身份认证服务。
Azure AD 与 AWS 单一帐户SSO访问集成【包含阿里在最后】,超详细讲解,包括解决可能出现的错误问题
一个学习的博客
03-09 1816
AWS SSO单点登录
Windows azure 联合身份验证服务配置(SSO
weixin_34240520的博客
01-12 954
Windows azure 联合身份验证服务配置(SSO)说到SSO,相信大家已经很熟悉了,SSO=单点登录,当然也有叫目录集成的说法。那在windows azure上实现SSO会有什么效果呢?如果我们的机构内部已经在使用本地的 Active Directory,则可将其与我们的 Azure AD 目录相集成,借此可自动执行基于云的管理任务,并可向用户提供更加简化的登录体验。...
Java接入Microsoft Azure AD实现SSO登录
【Mr-Coolerwu】
04-09 2670
SSO(SingleSign-On,单点登录)通过在IDP(身份验证提供商)登录成功后,就可以访问IDP关联的应用程序以及相关权限为了解决以下问题:用户使用多个应用程序时,需要创建多个账号如果用户在所有平台创建的账号密码一致,可能会导致账号密码泄露,非法用户会窃取用户的财产提高用户的体验感,降低创建账号的繁琐程序Azure Active Directory(Azure AD)是微软提供的一项云身份和访问管理服务,也就是IDP(身份验证提供商)
Azure AD+SAML 实现 SSO单一登录
weixin_44249578的博客
06-06 4109
Microsoft EntraID SAML Java集成,使用oneLogin库实现SSO单点登录
azure web应用部署_Java Web应用程序中的Azure AD SSO,ADFS SSO配置
从零开始的教程世界
07-10 2171
azure web应用部署 Azure AD单点登录 (Azure AD SSO) The Single Sign-On feature is getting popular among developers to handle Application Access Management while developing multi-faced applications due to its re...
Airflow2配置基于OAUTH2协议的Microsoft Azure SSO详细文档
....
12-08 2382
文章目录方案选型Airflow配置ssl登录Azure配置Airflow代理 参考文档: 通过 Azure AD 应用程序代理远程访问本地应用程序 配置原因: 客户要求为EMR集群核心组件配置基于Microsoft AzureSSO,通过 Azure AD 应用程序代理远程访问EMR集群本地应用程序 客户提出该要求主要出于两点考虑: 安全性 客户和我们是跨国的,我们都需要访问EMR集群里的本地应用程序,如果不采用类似Azure AD这种应用程序代理的方式,可能需要开通公网代理访问,这样风险极大. 便捷性
SSO__单点登录__微软解决方案__设计文档.rar
05-16
对于EIA系统集成时,通常需提供一套SSO单点登录的解决方案,此方案是微软公司自己推出的一套设计方案,供同行参考,有兴趣可以邮箱与本人交流。目前主要专注于:SSO、CAS、JBPM的相关知识 :)
轻松接入Azure AD+Oauth2 实现 SSO
热门推荐
JackieJia的博客
05-20 1万+
背景介绍 众所周知,目前SSO最常见的实现方案有如下几种: 1、OAuth2 2、SAML 3、OpenId 本文重点介绍的是目前SSO普及偏高的是第一种方案Oauth2,以下将分几个部分阐述如何对接Azure的Oauth2 Oauth2 集成Azure AD 方案: 如下是集成的时序图: 解释说明: 1、Native App 可以简单的理解你要接入的WEB 网站,由它来接收azure 认证之后的跳转。 2、Web API 可以理解为接入WEB网站对应的后端服务接口,由它来负责接收access_token
[C#] 轻量级部署azure应用
Eric的博客
06-21 606
概述 C#和azure是无缝衔接的。 azure支持0成本的docker方式部署应用,包括数据库。这样低到为0的入门门槛对新手非常友好。 步骤 开通一个azure账号。azure支持12个月的免费试用。免费账号的功能有限,需要转为收费账号才能使用高级功能。不过我们的轻量级部署只要用免费账号就够了。 创建一个cosmos数据库。作为轻量级应用,记得选择Serverless的按量计费。作为轻量级部署,Serverless的按量计费可以完全0费用。cosmos支持mongodb模式,这是比aws和阿里云的
java active directory 单点登录_教程:Azure Active Directory 单一登录 (SSO) 与 iSAMS 的集成...
weixin_29086203的博客
02-24 980
您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.教程:Azure Active Directory 单一登录 (SSO) 与 iSAMS 的集成Tutorial: Azure Active Directory single sign-on (SSO) integratio...
java active directory 单点登录_教程:Azure Active Directory 单一登录 (SSO) 与 Hightail 集成...
weixin_30983353的博客
02-24 664
您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.教程:Azure Active Directory 单一登录 (SSO) 与 Hightail 集成Tutorial: Azure Active Directory single sign-on (SSO) integrat...
O365和Keycloak结合SSO实现
qq_35485206的博客
09-29 555
背景 内部用keycloak实现SSO,近期引入了Office365,需要接入keycloak(saml协议),实现SSO。 遇到的问题 Office365按照官方文档配置后,负责keycloak的同学帮着调试好后,sso总是提示失败。总是提示找不到用户。 按照官方文档 https://learn.microsoft....
Java使用Microsoft Entra微软 SSO 认证接入
灵豸
12-14 2853
sp(服务提供这者)在首页做一个 button 按钮只进行 SAML 的 SSO 验证登录=》点击按钮,获取 ldp(微软)的动态访问 url=》验证账密,通过后调用 sp 提供的回调接口将邮箱信息传过来=》 sp(服务提供者)拿到邮箱获取用户的信息,进行验证,成功后,重定向到sp首页将 cookie进行写入。Microsoft Entra ID 还可帮助他们访问你的企业 Intranet 上的应用等内部资源,以及任何为你自己的组织开发的云应用。是基于云的标识和访问管理服务,可帮助员工访问外部资源。
Office 365之AD FS 3.0实现SSO(一)
weixin_34228387的博客
06-11 327
简单的介绍什么是单点登录,单点登录是企业业务应用整合的一种解决方案,通过配置单点登录,登陆用户就可以访问企业内部的应用系统。简单的说就不需要多次登录输入账号密码,凭借当前登录用户的令牌去认证各个应用系统,实现一次登陆可以同时进入各个应用系统。 其实说真的,发这篇文章之前,搭建好几次环境,也遇到不少问题,也看了不少写office 365跟AD FS实现SS...
Java实现单点登录(SSO)详解
勤劳的小琪
04-24 6770
单点登录(Single Sign-On,简称SSO)是目前比较流行的企业业务整合的解决方案之一,它的主要功能是:在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录的实现机制是:当用户第一次访问应用系统1的时候,因为还没有登录,所以会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行验证,如果通过验证,则应该返回给用户一个认证的凭据——ticket;
C# ASP 接入 Azure SSO
最新发布
01-23
### C# ASP.NET集成Azure AD SSO实现指南 #### 配置Azure Active Directory (AAD) 为了使ASP.NET应用程序能够支持Azure AD单点登录(SSO),需先在Azure门户中注册应用并配置必要的权限。这一步骤涉及创建一个新的企业应用,设置重定向URI以及记录下客户端ID和租户ID等重要参数[^1]。 #### 安装Microsoft.Identity.Web NuGet包 为了让开发更加简便高效,在项目里引入`Microsoft.Identity.Web`库是一个不错的选择。此NuGet包提供了丰富的API来处理OAuth 2.0授权流程中的细节工作,从而简化了与Azure AD交互的过程。可以通过Visual Studio内置的管理工具轻松安装该依赖项: ```bash Install-Package Microsoft.Identity.Web ``` #### 修改Startup.cs文件以启用身份验证中间件 接下来,在项目的入口处——即`Startup.cs`文件内,添加如下所示的服务注入语句,以便于后续调用Identity Web所提供的功能接口;同时还要记得更新Configure方法里的管道配置部分,确保HTTP请求可以被正确转发给相应的处理器实来进行安全校验操作。 ```csharp public void ConfigureServices(IServiceCollection services) { string[] initialScopes = Configuration.GetValue<string>("DownstreamApi:Scopes")?.Split(' '); services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme) .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd")) .EnableTokenAcquisitionToCallDownstreamApi(initialScopes) .AddInMemoryTokenCaches(); services.AddControllersWithViews(options => { var policy = new AuthorizationPolicyBuilder() .RequireAuthenticatedUser() .Build(); options.Filters.Add(new AuthorizeFilter(policy)); }); } // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } else { app.UseExceptionHandler("/Home/Error"); app.UseHsts(); } app.UseHttpsRedirection(); app.UseStaticFiles(); app.UseRouting(); app.UseAuthentication(); // Add Authentication middleware here app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllerRoute( name: "default", pattern: "{controller=Home}/{action=Index}/{id?}"); }); } ``` #### 更新appsettings.json文件 最后但同样重要的一步是在应用程序根目录下的`appsettings.json`文件中补充关于Azure AD的相关设定信息,比如客户端ID(Client ID)、域名(Tenant ID/Domains)以及其他可能需要用到的身份认证选项。 ```json { "AzureAd": { "Instance": "https://login.microsoftonline.com/", "Domain": "[Enter your tenant domain]", "TenantId": "[Enter 'common' or a specific Tenant Id]", "ClientId": "[Enter client id]" }, ... } ``` 完成上述所有步骤之后,重启服务器端程序即可生效新的更改。此时当用户尝试访问受保护资源时会被自动跳转至微软在线服务页面进行账号密码输入环节,成功后则会返回原网页继续浏览体验。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值