Azure Portal: SSO initiated login with external provider
I successfully configured Azure to work with an external IdP according to https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp However if I try to do an IdP initiated login, it seems that the SSO service https://login.microsoftonline.com/ does not parse the RelayState accordingly to http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.html
If I use the IdP initiated login URL:
the login works fine, but then I get redirect to https://www.office.com/?auth=2&home=1
If I finally type https://portal.azure.com/ in the same browser tab, I can access the Azure portal due to already successfully logged in via SSO.
Does anybody know why the Microsoft SSO ignores the RelayState argument?
1 ответ
В настоящее время мы сталкиваемся с более или менее той же проблемой. Мы всегда оказываемся на сайте office.com после перенаправления входа с URL-адреса клиента Keycloak SAML. Мы попробовали некоторые тесты со смарт-URL, как описано здесь: http://www.enowsoftware.com/solutions-engine/using-smart-links-to-improve-the-login-process-to-office-365-applications но, к сожалению, эти URL-адреса игнорируются login.microsoft.com, если вход в систему осуществляется через POST, что является случаем, когда Keycloak обрабатывает федеративный вход в систему.
Однако наше решение было следующим: если пользователь нажимает на вашу страницу и запрашивает логин Azure, мы открываем URL-адрес клиента Keycloak Azure Samle в скрытом фрейме. Если фрейм загружен (и перенаправлен на Office.com), мы отправляем пользователя на portal.azure.com, который теперь имеет действительные учетные данные для входа в систему и будет входить в систему. Немного хакерский, но работает нормально.