Microsoft Windows Azure Active Directory permet aux personnes et aux organisations d'utiliser des applications n'importe où grâce à la connectivité omniprésente dans le nuage et aux protocoles standard ouverts tels que OAuth, SAML-P, WS-Federation et le paradigme de l'API REST.
Il est possible de réaliser le cas d'utilisation suivant en combinant les packages de prévisualisation d'Azure Active Directory (AAD) avec les technologies habilitantes intégrées.
Supposons que le fournisseur d'identité utilise AAD comme magasin d'identité avec des points de terminaison URL de Fédération, de Connexion et d'OAuth.
1. L'utilisateur de ce fournisseur d'identité tente d'accéder au fournisseur de services.
2. Le fournisseur de services présente une page de découverte du domaine d'origine pour que l'utilisateur sélectionne son domaine d'origine.
3. L'utilisateur sélectionne ce fournisseur d'identité et est redirigé vers le fournisseur d'identité avec le flux SAML-P.
4. Le fournisseur d'identité constate qu'aucune session n'existe et délègue le processus d'authentification au point de connexion AAD (avec l'aperçu, vous pouvez utiliser la page de connexion Office 365).
5. L'AAD présente la page de connexion à l'utilisateur pour qu'il fournisse ses informations d'identification et le connecte.
6. L'AAD POST le jeton de sécurité WS-Federation au fournisseur d'identité qui consomme les réclamations contenant les informations de l'utilisateur authentifié.
7. Le fournisseur d'identité transforme le jeton de sécurité et le transmet au fournisseur de services.
8. En supposant que le fournisseur de services ne soit pas en mesure de faire correspondre le compte authentifié au compte d'identité.
9. Le fournisseur de services démarre le flux OAuth 2.0 JWT en communiquant avec la DAA pour extraire les données de l'utilisateur via l'API graphique de l'annuaire.
10. Le fournisseur de services provisionne maintenant le compte de l'utilisateur authentifié.
Un autre cas d'utilisation possible est le suivant :
1. L'utilisateur de ce fournisseur d'identité tente d'accéder au fournisseur de services.
2. Le fournisseur de services présente une page de découverte du domaine d'origine pour que l'utilisateur sélectionne son domaine d'origine.
3. L'utilisateur sélectionne ce fournisseur d'identité et est redirigé vers le processus de connexion du fournisseur d'identité avec le flux d'octroi de code d'autorisation OAuth 2.0 standard.
4. Le fournisseur d'identité constate qu'aucune session n'existe et délègue le processus d'authentification au point de connexion AAD.
5. L'AAD présente la page de connexion à l'utilisateur pour qu'il fournisse ses informations d'identification et le connecte.
6. L'AAD POST le jeton de sécurité WS-Federation au fournisseur d'identité qui consomme les réclamations contenant les informations de l'utilisateur authentifié.
7. Le fournisseur d'identité demande le code d'accès OAuth au nom de l'utilisateur authentifié en déléguant le processus d'autorisation OAuth au point d'accès OAuth de la DAA.
8. Une fois que le serveur d'identité a reçu le code d'accès, il redirige vers l'URI de redirection transmis par le fournisseur de services.
9. Le fournisseur de services demande alors un jeton d'accès au fournisseur d'identité en utilisant le code d'autorisation.
10. Le fournisseur d'identité suit le même processus en déléguant le processus OAuth pour demander le jeton d'accès.
11. Une fois que le fournisseur d'identité a obtenu le jeton d'accès, il redirige vers l'URI de redirection transmis par le fournisseur de services.
12. Le fournisseur de services utilise le jeton d'accès qui renvoie au serveur de ressources du côté du fournisseur d'identité pour obtenir des informations sur l'utilisateur authentifié.
