Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Služby Active Directory Federation (AD FS) v Windows Server umožňuje přidat ověřování a autorizaci založené na OpenID Connect a OAuth 2.0 do vašich aplikací pomocí Identity a ověřování Microsoftu (MSAL) pro Python. Pomocí knihovny MSAL pro Python může vaše aplikace ověřovat uživatele přímo ve službě AD FS. Další informace o scénářích najdete v tématu Scénáře služby AD FS pro vývojáře.
Existují obvykle dva způsoby ověřování ve službě AD FS:
- MSAL Python hovoří o Microsoft Entra ID, která je sama federovaná s jinými zprostředkovateli identity. Federace probíhá prostřednictvím služby AD FS. MSAL Python se připojí k Microsoft Entra ID, který přihlásí uživatele spravované ve Microsoft Entra ID (spravovaných uživatelích) nebo uživatelích spravovaných jiným zprostředkovatelem identity, jako je služba AD FS (federovaní uživatelé). MSAL Python neví, že je uživatel federovaný. Prostě mluví s Microsoft Entra ID. Autoritou, kterou v tomto případě používáte, je obvyklá autorita (název hostitele autority + tenant, společné nebo organizace).
- MSAL Python hovoří přímo s autoritou služby AD FS. To podporuje jenom služba AD FS 2019 a novější.
Připojte se k služba Active Directory federované pomocí služby AD FS
Interaktivní získání tokenu pro federovaného uživatele
Platí to, jestli se připojujete přímo k Služby Active Directory Federation (AD FS) nebo prostřednictvím služba Active Directory.
Při volání acquire_token_by_authorization_code nebo acquire_token_by_device_flow, uživatelské prostředí je obvykle následující:
- Uživatel zadá ID svého účtu.
- Microsoft Entra ID krátce zobrazí zprávu "Převeďte vás na stránku vaší organizace" a uživatel se přesměruje na přihlašovací stránku zprostředkovatele identity. Přihlašovací stránka se obvykle přizpůsobí logem organizace.
Podporované verze služby AD FS v tomto federovaného scénáři jsou:
- Služby Active Directory Federation FS v2
- Služby Active Directory Federation v3 (Windows Server 2012 R2)
- Služby Active Directory Federation v4 (AD FS 2016)
Získání tokenu pomocí uživatelského jména a hesla
Warning
Tok ověřování pomocí přihlašovacích údajů vlastníka prostředku (ROPC) byl pro veřejné klientské aplikace označen jako zastaralý z důvodu bezpečnostních rizik. Microsoft doporučuje používat bezpečnější tok ověřování. Postupujte podle oficiálních pokynů k migraci z ROPC.
Platí to, jestli se připojujete přímo k Služby Active Directory Federation (AD FS) nebo prostřednictvím služba Active Directory.
Když získáte token pomocí acquire_token_by_username_password, MSAL Python na základě uživatelského jména zjistí, kterého zprostředkovatele identity má kontaktovat. MSAL Python získá od poskytovatele identity token SAML 1.1, který pak předá Microsoft Entra, jež vrátí token JSON Web Token (JWT). Nedoporučujeme tok uživatelského jména a hesla, protože představuje bezpečnostní rizika, která nejsou v jiných tocích. Další informace o tom, proč se chcete vyhnout použití tohoto grantu, najdete v článku o tom, proč Microsoft pracuje na tom, aby hesla byla věcí minulosti.
Přímé připojení ke službě AD FS
Když připojíte adresář ke službě AD FS, autorita, kterou budete chtít použít k sestavení aplikace, bude vypadat přibližně takto: https://somesite.contoso.com/adfs/
MSAL Python podporuje ADFS 2019, ale nepodporuje přímé připojení k ADFS 2016 nebo ADFS v2. Po upgradu místního systému na ADFS 2019 můžete použít Python MSAL.