SimpleSAMLphp с Bitium / Azure AD

В нашей системе необходимо, чтобы разные клиенты могли настраивать разных поставщиков удостоверений, чтобы они могли войти в нашу систему. В настоящее время у нас есть настройка SimpleSAMLphp для работы с Okta и OneLogin, посредством чего пользователь может:

1. Войдите с нашего сайта, введя их адрес электронной почты, который затем ищет их провайдера идентификации для SimpleSAMLphp, а затем перенаправляет их на соответствующий iDP, прежде чем он перенаправляет их на наш сайт и регистрирует их.
2. Пользователи могут войти в свой iDP (Okta или OneLogin), а затем нажать «приложение» на iDP, которое затем отправляет их на наш сайт и аутентифицирует их.

Теперь у нас есть клиент, который использует Azure AD, и они хотели бы иметь возможность войти в систему с помощью нашей формы, которая перенаправит их на имя входа Azure, а также иметь возможность запуска на портале и щелкнуть «приложение», которое перенесет их на наш сайт и подтвердит их подлинность. Однако после отладки запросов, которые выполняются, когда «приложение» используется на стороне Azure, и когда используется наша форма, их различия в запросах.

Когда проверка подлинности начинается с нашего сайта, мы перенаправляем на Azure, а затем, когда Azure аутентифицирует пользователя, ответ отправляется обратно в нашу конечную точку simplesamlphp (saml2-acs.php) с SAMLResponse в параметрах POST. Однако когда проверка подлинности запускается пользователем, щелкающим «приложение» в Azure, запрос отправляется через GET на нашу конечную точку simplesamlphp (saml2-acs.php), и SAMLResponse отсутствует. Из-за того, что SAMLResponse отсутствует, SimpleSAMLphp выдает исключение ACSPARAMS.

Клиент также настроил учетную запись с iDP под названием Bitium, однако я не видел настройки этого, поэтому не могу подтвердить, как они объединяются с помощью своей Azure Active Directory. Но даже с Bitium кажется, что запрос сначала перенаправляется на имя входа Azure, а затем отправляется обратно на нашу конечную точку SimpleSAMLphp через GET, что означает, что это также не удается.

Мой вопрос Похоже ли это на проблему с функциональностью SAML от Microsoft или функциональность единого входа Azure отличается от функциональности Okta и OneLogin, а это означает, что нам нужно будет настроить все по-другому на нашей стороне?