带有外部身份验证服务的 Azure oauth答案

【问题标题】：Azure oauth with external authentication service带有外部身份验证服务的 Azure oauth
【发布时间】：2020-12-07 09:40:19
【问题描述】：

我正在开发一种基础架构，该基础架构允许组织中的不同应用程序从/向 Azure 事件中心生成和使用事件。每个应用程序都有一个支持 AD 应用程序和具有事件发送者/接收者角色分配的服务主体。我们正在使用 kafka 客户端向集线器和 oauth 生成/消费事件以进行身份验证。

当客户端连接时，它会将客户端 ID 和密码发送到 Azure AD 并接收一个令牌以进行身份验证。我们不仅需要使用 azure AD 对客户端进行身份验证，还需要使用我们的组织身份验证服务对客户端进行身份验证。有没有办法配置 azure oauth 在将令牌返回给客户端之前调用一些外部服务（带有一些标头或一些参数）进行身份验证？

任何回复将不胜感激。

谢谢！

【问题讨论】：

标签： azure oauth-2.0 azure-active-directory

【解决方案1】：

仅使用 Azure AD 是不可能的。您将需要一个 API 可以针对两者对您的客户端进行身份验证。

【讨论】：

您好，感谢您的回复。你能详细说明一下吗？我不希望我的用户能够仅使用 ms AD 客户端 ID 和密码连接到事件中心。
@yaarix，您将不得不开发一个自定义 API，根据 Azure AD 和外部身份验证服务验证您的用户。
我明白了。问题是如何强制来自 kafka 客户端的每个调用都使用该 api。我们不希望任何客户端能够仅使用 azure ad 进行身份验证。所以开发一个 api 是不够的，我们需要 azure 强制所有客户端使用该 api 进行身份验证
@yaarix 你需要联系 kafka 支持。
我们正在使用带有 kafka 客户端的事件中心，使用 azure ad 进行身份验证（因为我们必须向应用程序授予数据读取器/接收器角色）。所以不确定kafka会帮助我吗