gpt4 book ai didi

authentication - 配置 Okta 以在我们的 SP 应用程序和 IdP 之间进行调解

转载 作者:行者123 更新时间:2023-12-04 04:30:09 24 4
gpt4 key购买 nike

我们是一个服务提供商,我们的应用启用了 SAML,以允许 IdP 为我们验证用户身份。确保每个人都在同一页面上

  • 身份提供者 (IdP) 是一个应用程序,其工作是对用户进行身份验证
  • 服务提供商 (SP) 是一个终端应用程序,它将身份和身份验证联合到 IdP
  • SAML 是一种协议(protocol),允许 IdP 向 SP 做出可信赖的身份断言。我们正在使用 SAML 2.0 ( http://en.wikipedia.org/wiki/SAML_2.0 )

  • 此处有关联合身份的更多信息: http://developer.okta.com/docs/guides/saml_guidance.html

    我们目前仅将 Okta 用作 IdP,但遇到了需要与单独的 IdP 集成的情况。我们希望我们的应用程序只与 Okta 通信,并让 Okta 处理与这个单独的 IdP 通信并验证他们的断言。由于我们的特定用例,我们的应用程序知道应该使用什么底层 IdP,因此不需要 IdP 发现。

    我们想配置 Okta,使身份验证流程如下:
  • 我们的应用程序将用户重定向到 Okta 中的端点,指示使用底层 IdP 进行身份验证
  • Okta 和底层 IdP 执行任何必要的操作来验证用户并验证身份验证
  • 我们的应用程序(通过 HTTP-POST)收到一个对我们的 ACS 端点进行身份验证的单个响应,由 Okta
  • 签名

    从最终用户的角度来看,他们导航到 service-provider.com,通过 Okta 重定向到 under-idp.com,执行必要的身份验证,然后重定向回 service-provider.com。最终用户不知道中间的 Okta 层,除了在重定向期间短暂出现在浏览器地址栏中的 Okta URL 可能异常(exception)。

    到目前为止,我们已经能够在 Okta 实例中设置入站 SAML,以便用户可以通过底层 IdP 在 Okta 中进行身份验证。我们使用 SAMLRequest 将我们的应用程序重定向到入站 SAML 配置页面中给出的端点,但这会将用户带到 Okta 仪表板,因为该链接仅用于验证 Okta 中的用户,而不是用于验证使用 Okta 的 SP 的用户。查看我们的相关配置:
  • Configuration for our app in Okta which allows us to use Okta as a direct IdP
  • Configuration results of the Inbound SAML. We redirect our SAMLRequest to the Assertion Consumer Service URL given

  • 我们如何配置 Okta 以使我们的用例成为可能?理想情况下,我们希望 Okta 充当中间人或调解人,检查和传递 SAML 请求/断言。具体来说,我们不一定需要这些用户是经过身份验证的 Okta 用户;我们只需要 Okta 根据底层 IdP 的断言来断言用户就是他们所说的那个人。

    最佳答案

    听起来您需要 Okta 在今年晚些时候的路线图中提供的 IdP 发现功能,以及他们的入站 SAML 设置以及与其他 IdP 的关系。我相信可以通过自定义登录页面来实现这一点。他们已经提到通过专业服务来做到这一点,但是当他们将 IdP 发现内置到平台中时,我个人感觉会好很多。

    关于authentication - 配置 Okta 以在我们的 SP 应用程序和 IdP 之间进行调解,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35233261/

    24 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com