我需要让用户从 iOS 应用程序登录到他们的 Azure Active Directory 帐户，并在获取 token 后将信息传递到我的 Rails 服务器，该服务器随后将对用户进行身份验证并创建他们的本地 (Rails) 用户记录如果认证成功。或者，对于现有用户，它会(理想情况下)设置 Devise current_user 变量，以便后续对 Rails 应用程序资源的请求能够成功。

我让这个等式的两边独立工作——iOS/Swift 4 应用程序使用 Microsoft SDK 获取 token ——它工作正常。 Rails 端使用 Azure Active Directory Omniauth 提供程序进行设置，当您通过浏览器访问它时它可以正常工作。到目前为止，一切都很好。 (注意:两者都使用 Azure AD v1.0 API:iOS 上的 ADAL 和 Rails 上的 omniauth-azure-activedirectory)

当我过去使用 Omniauth 时——特别是使用 Facebook 提供商时，我可以在应用程序端获取 token 并将其传递到 Rails 服务器，然后 Rails 服务器将使用 Facebook 图来确保 token 通过简单的 GET 请求是合法的。但是，使用 Microsoft Omniauth 提供程序时，似乎没有等效项。我发现 token 和声明在两者之间匹配，但我不知道向 Rails 指示用户是合法用户的最佳方法，如果身份验证详细信息匹配，应该在 Devise 中将其实例化为 current_user。换句话说，我应该将哪些字段发送到 rails 端，然后我可以将其传递给 Azure AD 以验证用户的真实性？

我应该尝试使用 Omniauth 提供程序并将其返回基于 Web 的版本提供的内容(例如 omniauth.auth 哈希)，还是应该编写我自己的 Controller /操作来从应用程序接收身份验证详细信息并实例化用户从 Rails 再次验证用户后我自己？我已经开始使用这两种方法，但到目前为止没有任何效果。

我采用这些方法中的任何一种方法是否正确，或者还有其他建议吗？

更新

我现在已经切换到使用 v2.0 API，并且我已经设置了一个使用 MSAL 的新应用程序(在 apps.dev.microsoft.com)在应用端和microsoft_v2_auth在 rails 一侧。在应用程序端从 MSAL 获得访问 token 后，我将它发送到 POST 正文中的 Rails 服务器(通过 HTTPS)。服务器端，我只是在一个单独的操作(与 Omniauth 提供程序无关)中使用我从应用程序获得的 token 作为授权 header 中的不记名 token 对 Graph API“我”端点执行 GET。如果返回时没有错误，我会创建用户(如果他们不存在)然后让他们登录，或者如果他们存在则只让他们登录。这似乎有效。

我只是使用 Omniauth 提供程序进行 Web 登录。

所以!这种方法看起来合理吗？除了对用户进行身份验证外，我真的不需要 Azure AD 的任何东西。使用我从应用程序获得的 token 从 Graph API 发出 GET 请求似乎是执行此操作的最简单方法？还有其他想法或疑虑吗？

最佳答案

由于有人要求我对此有更深入的了解，所以我将继续发布我最终实现的解决方案。

将此添加到您的 gemfile 中:

gem 'omniauth-microsoft_v2_auth'

将此添加到您的 config/devise.rb 文件的底部:

config.omniauth :microsoft_v2_auth, ENV['CLIENT_ID'], ENV['CLIENT_SECRET']

您必须将这些环境变量添加到您的环境中。我通常在开发时使用 Figaro gem，然后在部署时通过 Heroku CLI 设置它们。

您需要通过 session Controller 将用户路由到您的 Azure 身份验证。将此添加到您的 routes.rb 文件中:

devise_for :users, :controllers => {sessions: 'sessions', registrations: 'registrations', omniauth_callbacks: "callbacks"} 

devise_scope :user do
  post 'users/sign_in_with_azad_token' => 'sessions#sign_in_with_azad_token'
end

以下是我在 session Controller 中实现操作的方式:

def sign_in_with_azad_token
    token = params[:token]

    # Use the graph API to ensure this user is legit
    uri = URI("https://graph.microsoft.com/v1.0/me/")
    request = Net::HTTP::Get.new(uri.request_uri)
    request['authorization'] = "Bearer #{token}"

    response = Net::HTTP.start(uri.host, uri.port, :use_ssl => uri.scheme == 'https') do |http|
        http.request(request)
    end

    json = JSON.parse(response.body)

    if json["error"].nil?
        # If no error, user was found
        user = User.from_uid_email(json["id"], json["userPrincipalName"])
        unless user.nil?
            sign_in("user", user)
            respond_to do |format|  
                format.json {  return render :json => {  :success => true, :user => user } }  
            end
        else
            respond_to do |format|  
                format.json {  return render :json => {  :success => false, :message => "You must sign in before continuing" }, status: :unauthorized }  
            end
        end

    else
        respond_to do |format|  
            format.json {  return render :json => {  :success => false, :message => json["error"]["message"]}, status: :unauthorized }  
        end
    end

end

您可能希望有一种方法允许您的用户在 Webi 浏览器中使用 Microsoft Azure 进行身份验证。在这种情况下，您需要将其添加到您的 Devise 新注册 View 中(我的位于 views/devise/registrations/new.html.erb 和 views/devise/shared/_links.html.erb):

    <%- if devise_mapping.omniauthable? %>
      <%- resource_class.omniauth_providers.each do |provider| %>
        <%= link_to "Sign in with #{OmniAuth::Utils.camelize(provider)}", omniauth_authorize_path(resource_name, provider) %><br />
      <% end -%>
    <% end -%>

最后，我的客户端应用程序执行登录的端点位于 ...[server_url]/users/sign_in_with_azad_token.json

在应用端使用 MSAL iOS 框架进行身份验证并获取 token 后，我点击了此端点。我将 token 包含在作为请求正文一部分的 JSON 负载中。有效负载很简单:

{
    "token" : "dj9hs0shgkshd93hs92bh7493"

}

希望这对您有所帮助。自从我从事这项工作以来已经有一段时间了，所以我可能忘记了一些事情。如果缺少任何内容，请对此答案添加评论。

关于ios - 使用 Web + iOS 应用程序身份验证的 Rails Azure Active Directory SSO，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/50080115/