Định cấu hình Okta để dàn xếp giữa Ứng dụng SP của chúng tôi và IdP

Question

Chúng tôi là Nhà cung cấp dịch vụ đã bật SAML ứng dụng của chúng tôi để cho phép IdP xác thực người dùng cho chúng tôi. Để chắc chắn rằng tất cả mọi người là trên cùng một trang

• nhận dạng nhà cung cấp (IdP) là một ứng dụng mà công việc đó là để xác thực người dùng
Provider
• dịch vụ (SP) là một ứng dụng cuối cùng mà federates sắc và xác thực để IdP
• SAML là giao thức cho phép IdP thực hiện xác nhận danh tính đáng tin cậy đối với SP. Chúng tôi đang sử dụng SAML 2,0 (http://en.wikipedia.org/wiki/SAML_2.0)

Thông tin thêm về bản sắc liên đây: http://developer.okta.com/docs/guides/saml_guidance.html

Chúng tôi đang chỉ sử dụng Okta như một IdP, nhưng đã chạy vào một tình huống mà chúng ta cần phải tích hợp với một riêng biệt IdP. Chúng tôi muốn ứng dụng của chúng tôi chỉ giao tiếp với Okta và có thỏa thuận với Okta để nói chuyện với IdP riêng biệt này và xác nhận xác nhận của họ. Do trường hợp sử dụng cụ thể của chúng tôi, ứng dụng của chúng tôi biết được IDP cơ bản nào nên được sử dụng, vì vậy không cần IdP Discovery.

Chúng tôi muốn cấu hình Okta để các dòng chảy xác thực như sau:

1. ứng dụng của chúng tôi chuyển hướng người dùng đến một thiết bị đầu cuối trong Okta chỉ sử dụng IdP cơ bản để xác thực

2. Okta và IdP cơ bản thực hiện bất kỳ điều gì cần thiết để xác thực người dùng và xác thực xác thực

3. Ứng dụng của chúng tôi nhận được một phản hồi (qua HTTP-POST) đến điểm cuối ACS của chúng tôi xác thực người dùng, có chữ ký của Okta

Từ góc độ người dùng cuối, họ hướng đến service-provider.com, được chuyển hướng qua Okta để underlying-idp.com, thực hiện xác thực cần thiết, và sau đó được chuyển hướng trở lại-cung cấp dịch vụ .com. Người dùng cuối không biết lớp Okta ở giữa, ngoại trừ một URL Okta có thể xuất hiện trong thanh địa chỉ trình duyệt trong khi chuyển hướng.

Cho đến nay, chúng tôi đã có thể thiết lập SAML đến trong trường hợp Okta của chúng tôi để người dùng có thể được xác thực trong Okta thông qua IdP cơ bản. Chúng tôi có chuyển hướng ứng dụng của chúng tôi đến điểm cuối được đưa ra trong trang cấu hình SAML trong nước với SAMLRequest, nhưng điều này đưa người dùng đến bảng điều khiển Okta vì liên kết chỉ để xác thực người dùng ở Okta chứ không xác thực người dùng cho SP bằng Okta. Xem cấu hình có liên quan của chúng tôi:

• Configuration for our app in Okta which allows us to use Okta as a direct IdP
• Configuration results of the Inbound SAML. We redirect our SAMLRequest to the Assertion Consumer Service URL given

Làm sao chúng ta có thể cấu hình Okta để trường hợp sử dụng của chúng tôi là có thể? Lý tưởng nhất, chúng tôi muốn Okta làm trung gian hoặc hòa giải viên, kiểm tra và chuyển qua các yêu cầu/xác nhận của SAML. Cụ thể, chúng tôi không cần những người dùng này để xác thực người dùng Okta; chúng tôi chỉ cần Okta để xác nhận người dùng là người họ nói rằng họ dựa trên xác nhận của IdP cơ bản.

Answer 1

Loại âm thanh như bạn cần khả năng phát hiện IdP mà Okta có trên lộ trình vào cuối năm nay kết hợp với thiết lập SAML trong nước của họ với các mối quan hệ với IdP khác. Tôi tin rằng nó có thể sắp xếp thực hiện điều này với một trang đăng nhập tùy chỉnh. Họ đã đề cập làm điều này với các dịch vụ chuyên nghiệp, nhưng cá nhân tôi sẽ cảm thấy tốt hơn rất nhiều về nó khi họ đã xây dựng phát hiện IdP vào nền tảng này.