在没有 Internet 连接的 Web 服务器上启用 Azure AD SSO

Question

我使用 Azure AD 实现了我的 ASP.Net Web 应用程序 SSO。一切正常，我的测试服务器有互联网连接。 我的客户政策不允许在他们的服务器上连接互联网，并且在用户通过身份验证后从 Microsoft 验证令牌时 SSO 失败。错误是“IDX20803：无法从以下位置获取配置：[PII is Hidden]”。 我将Microsoft.IdentityModel.Logging.IdentityModelEventSource.ShowPII = true; 添加到我的 Startup.cs 类中，错误更详细：“IDX20803: Unable to get configuration from: 'https://login.microsoftonline.com/MYTENANTID/.well-known/openid-configuration'”。

我的问题是：我会要求我的客户打开他们的防火墙，只允许login.mirosoftonline.com。够了吗？是否需要允许其他请求？还有什么要求？

Answer 1

据微软称，https://docs.microsoft.com/en-ca/office365/enterprise/urls-and-ip-address-ranges#microsoft-365-common-and-office-online

我相信第 56 类是用于身份和身份验证的，你是否需要它们，我不确定，但微软似乎是这样认为的？

56 允许 必需 是 *.msappproxy.net、*.msftidentity.com、*.msidentity.com、account.activedirectory.windowsazure.com、accounts.accesscontrol.windows.net、adminwebservice.microsoftonline.com、api.passwordreset.microsoftonline.com、 autologon.microsoftazuread-sso.com、becws.microsoftonline.com、clientconfig.microsoftonline-p.net、companymanager.microsoftonline.com、device.login.microsoftonline.com、graph.microsoft.com、graph.windows.net、登录。 microsoft.com、login.microsoftonline.com、login.microsoftonline-p.com、login.windows.net、logincert.microsoftonline.com、loginex.microsoftonline.com、login-us.microsoftonline.com、nexus.microsoftonline-p。 com、passwordreset.microsoftonline.com、provisioningapi.microsoftonline.com 20.190.128.0/18、40.126.0.0/18、2603:1006:2000::/48、2603:1007:200::/48、2603:1016:1400::/48、2603:1017::/48、 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48