Chúng tôi là Nhà cung cấp dịch vụ đã bật SAML ứng dụng của chúng tôi để cho phép IdP xác thực người dùng cho chúng tôi. Để chắc chắn rằng tất cả mọi người là trên cùng một trangĐịnh cấu hình Okta để dàn xếp giữa Ứng dụng SP của chúng tôi và IdP
- nhận dạng nhà cung cấp (IdP) là một ứng dụng mà công việc đó là để xác thực người dùng Provider
- dịch vụ (SP) là một ứng dụng cuối cùng mà federates sắc và xác thực để IdP
- SAML là giao thức cho phép IdP thực hiện xác nhận danh tính đáng tin cậy đối với SP. Chúng tôi đang sử dụng SAML 2,0 (http://en.wikipedia.org/wiki/SAML_2.0)
Thông tin thêm về bản sắc liên đây: http://developer.okta.com/docs/guides/saml_guidance.html
Chúng tôi đang chỉ sử dụng Okta như một IdP, nhưng đã chạy vào một tình huống mà chúng ta cần phải tích hợp với một riêng biệt IdP. Chúng tôi muốn ứng dụng của chúng tôi chỉ giao tiếp với Okta và có thỏa thuận với Okta để nói chuyện với IdP riêng biệt này và xác nhận xác nhận của họ. Do trường hợp sử dụng cụ thể của chúng tôi, ứng dụng của chúng tôi biết được IDP cơ bản nào nên được sử dụng, vì vậy không cần IdP Discovery.
Chúng tôi muốn cấu hình Okta để các dòng chảy xác thực như sau:
ứng dụng của chúng tôi chuyển hướng người dùng đến một thiết bị đầu cuối trong Okta chỉ sử dụng IdP cơ bản để xác thực
Okta và IdP cơ bản thực hiện bất kỳ điều gì cần thiết để xác thực người dùng và xác thực xác thực
Ứng dụng của chúng tôi nhận được một phản hồi (qua HTTP-POST) đến điểm cuối ACS của chúng tôi xác thực người dùng, có chữ ký của Okta
Từ góc độ người dùng cuối, họ hướng đến service-provider.com, được chuyển hướng qua Okta để underlying-idp.com, thực hiện xác thực cần thiết, và sau đó được chuyển hướng trở lại-cung cấp dịch vụ .com. Người dùng cuối không biết lớp Okta ở giữa, ngoại trừ một URL Okta có thể xuất hiện trong thanh địa chỉ trình duyệt trong khi chuyển hướng.
Cho đến nay, chúng tôi đã có thể thiết lập SAML đến trong trường hợp Okta của chúng tôi để người dùng có thể được xác thực trong Okta thông qua IdP cơ bản. Chúng tôi có chuyển hướng ứng dụng của chúng tôi đến điểm cuối được đưa ra trong trang cấu hình SAML trong nước với SAMLRequest, nhưng điều này đưa người dùng đến bảng điều khiển Okta vì liên kết chỉ để xác thực người dùng ở Okta chứ không xác thực người dùng cho SP bằng Okta. Xem cấu hình có liên quan của chúng tôi:
- Configuration for our app in Okta which allows us to use Okta as a direct IdP
- Configuration results of the Inbound SAML. We redirect our SAMLRequest to the Assertion Consumer Service URL given
Làm sao chúng ta có thể cấu hình Okta để trường hợp sử dụng của chúng tôi là có thể? Lý tưởng nhất, chúng tôi muốn Okta làm trung gian hoặc hòa giải viên, kiểm tra và chuyển qua các yêu cầu/xác nhận của SAML. Cụ thể, chúng tôi không cần những người dùng này để xác thực người dùng Okta; chúng tôi chỉ cần Okta để xác nhận người dùng là người họ nói rằng họ dựa trên xác nhận của IdP cơ bản.
Tôi gặp vấn đề tương tự khi chỉ có thể xác thực để đến bảng điều khiển Okta. Bạn có thể nhận được câu trả lời với điều này không? Cả hỗ trợ và tài liệu của Okta đều không giải thích được cách thực hiện điều này. Điều này có vẻ giống như một trường hợp sử dụng phổ biến (SAML gửi đến được xác thực và chuyển hướng đến SP). – Theo