Uwierzytelnianie aplikacji internetowej PHP za pomocą usług Azure Active Directory i usługi Azure Mobile

Question

Mam już aplikację mobilną zintegrowaną z usługami mobilnymi Azure. Usługi mobilne są obecnie połączone z usługą Azure Active Directory z włączoną usługą MFA. Próbuję utworzyć osobną aplikację internetową opartą na PHP, która korzysta z istniejącej usługi mobilnej i uwierzytelniania.

Authentication

Jedynym Active Directory użytkowników jest AAD chmurze. Nie ma wersji lokalnej ani biurowej 365. Po przeprowadzeniu wielu badań wydaje się, że PHP może integrować za pomocą SAML. Jednak albo nie ma próbek PHP Azure Active Directory Code Samples lub są one powiązane z Office 365 azure-sdk-for-php-samples.

Jak mogę uwierzytelnić moich użytkowników przeciwko AAD za pomocą aplikacji internetowej?

Autoryzacja

Gdy użytkownik został uwierzytelniony, jak mogę zapewnić, że użytkownik ma te same poziomy dostępu jako użytkownik za pośrednictwem serwisu mobilnego?

Answer 1

Jedną opcją jest, aby Twoja aplikacja PHP wyświetlała stronę przy użyciu Mobile Services JavaScript SDK i zleciała wykonanie login.

Otrzymasz ten sam żeton, który otrzymasz w swojej aplikacji mobilnej. Na pytanie dotyczące autoryzacji, o ile wykonujesz kolejne wywołania zaplecza za pośrednictwem usługi mobilnej, otrzymasz dokładnie te same reguły autoryzacji, które zdefiniowałeś w tej usłudze.

Token będzie powiązany z klientem i prawdopodobnie będziesz chciał go odzyskać na serwerze w celu wykonywania połączeń. Faktyczny token usług mobilnych znajduje się pod numerem client.currentUser.authenticationToken i możesz ustawić to jako plik cookie w kodzie javascript, a następnie pobrać go w swoim zapleczu PHP w kolejnym wywołaniu.

Połączenia z usługą mobilną (przez REST API) z Twojego zaplecza PHP wymagają tylko tego tokenu w nagłówku X-ZUMO-AUTH.

Takie podejście powinno działać dla wszystkich dostawców, w tym AAD. Pomoc makrofinansowa nie powinna stanowić problemu w tym przypadku.