ADFS desteği

Windows Server'daki Active Directory Federasyon Hizmetleri (AD FS) (AD FS), geliştirmekte olduğunuz uygulamalara OpenID Connect ve OAuth 2.0 tabanlı kimlik doğrulaması ve yetkilendirme eklemenize olanak tanır. Bu uygulamalar doğrudan AD FS'de kullanıcıların kimliğini doğrulayabilir. Daha fazla bilgi için Bkz. Geliştiriciler için AD FS Senaryoları.

AD FS'de kimlik doğrulaması yapmanın genellikle iki yolu vardır:

  • MSAL, Microsoft Entra ID'ye bağlanır ve Microsoft Entra ID ardından AD FS ile federasyon kurar.
  • MSAL, doğrudan bir AD FS yetkilisine bağlanır.

MSAL4J bu iki akışı da destekler.

MSAL, Microsoft Entra ID’ye bağlanır ve Microsoft Entra ID ardından AD FS ile federasyon kurar.

MSAL4J, Microsoft Entra ID’ye bağlanmayı destekler; Microsoft Entra ID, yönetilen kullanıcıların (Microsoft Entra ID’de yönetilen kullanıcılar) veya federe kullanıcıların (AD FS gibi başka bir kimlik sağlayıcısı tarafından yönetilen kullanıcılar) oturum açmasını sağlar. MSAL4J, kullanıcıların federasyon olduğu gerçeğini bilmez. Kendisi söz konusu olduğunda, Microsoft Entra ID ile konuşur.

Bu durumda kullandığınız yetkili, her zamanki yetkilidir (yetkili ana bilgisayar adı + kiracı, ortak veya kuruluşlar).

Federe kullanıcılar için etkileşimli belirteç edinme

AuthorizationCodeParameters veya DeviceCodeParameters ile AcquireToken'ı çağırdığınızda, kullanıcı deneyimi genellikle şöyledir:

  1. Kullanıcı hesap kimliğini girer.
  2. Microsoft Entra ID kısaca "Sizi kuruluşunuzun sayfasına götürür" iletisini görüntüler. Kullanıcı, kimlik sağlayıcısının oturum açma sayfasına yönlendirilir. Oturum açma sayfası genellikle kuruluşun logosuyla özelleştirilir.
  3. Bu federasyon senaryosunda desteklenen AD FS sürümleri AD FS v2, AD FS v3 (Windows Server 2012 R2) ve AD FS v4 (AD FS 2016) sürümleridir.

MSAL doğrudan AD FS otoritesine bağlanır

MSAL4J, AD FS 2019 ile doğrudan kimlik doğrulaması için destek sağlar. Bu durumda, istemciyi başlatırken MSAL4J'ye ADFS'ye özgü yetkili URL'sini sağlayabilirsiniz. Yetki değeri yaklaşık olarak https://adfs.contoso.com/adfs gibi görünmelidir.

IntegratedWindowsAuthenticationParameters veya UsernamePasswordParameters ile AcquireToken kullanarak belirteç alma

IntegratedWindowsAuthenticationParameters veya UsernamePasswordParameters ile AcquireToken kullanarak bir belirteç alırken MSAL4J, kullanıcı adına göre hangi kimlik sağlayıcısıyla iletişim kurulacağını belirler. MSAL4J, kimlik sağlayıcısına başvurdıktan sonra bir SAML belirteci alır. MSAL4J daha sonra JWT'yi geri almak için kullanıcı onayı olarak Microsoft Entra ID (adına akışa benzer) SAML belirtecini sağlar.