我们当前遇到一个基于Azure AD的Open ID Connect Provider及其与AWS Cognito身份池集成的问题。
在基本级别上,我们的身份验证流程为:
- 用户转到我们的应用程序
- 用户被重定向到Office 365(Azure AD)进行身份验证
- 用户被发送回我们的应用程序,我们转发从Auth步骤获得的OIDC详细信息,以从Cognito身份池中获取身份详细信息
第三步是间歇性失败,Cognito响应并显示以下错误“ OpenIDConnect提供程序的HTTPS证书与配置的指纹不匹配”
重要的是要注意,我们在不更改发送给Cognito的内容的情况下重复执行第三步很多次,有时它有用,有时却没有。
我们已按照以下本页概述的步骤获取了“缩略图” https://docs.microsoft.com/en-us/azure/active-directory/develop/access-tokens
最终导致我们在此命令中使用openssl来获取单个指纹。
.\openssl s_client -servername login.microsoftonline.com -showcerts -connect login.microsoftonline.com:443
将OIDC与Azure AD一起使用时,是否可能需要配置多个有效的指纹?鉴于SSL证书频繁轮换,我认为答案是肯定的,但我们如何获得所有必需的指纹尚不清楚。