Siamo un fornitore di servizi che ha SAML abilitato alla nostra app per consentire agli idp di autenticare gli utenti per noi. Per assicurarsi che tutti sono sulla stessa paginaConfigura Okta per mediare tra la nostra applicazione SP e IdP
- provider di identità (IdP) è un'applicazione il cui compito è quello di autenticare gli utenti
- Service Provider (SP) è un applicazione finale che federa le identità e l'autenticazione al IdP
- SAML è un protocollo che consente agli IdP di rendere affidabili le asserzioni di identità agli SP. Stiamo usando SAML 2,0 (http://en.wikipedia.org/wiki/SAML_2.0)
Maggiori informazioni sulla identità federate qui: http://developer.okta.com/docs/guides/saml_guidance.html
Attualmente stiamo solo usando Okta come un IDP, ma abbiamo incorrere in una situazione in cui abbiamo bisogno di integrarsi con un separato IDP. Ci piacerebbe che la nostra app comunichi solo con Okta e che abbiate a che fare con Okta parlando con questo IdP separato e convalidando le loro asserzioni. A causa del nostro particolare caso d'uso, la nostra app sa che cosa deve essere usato l'IdP sottostante, quindi non c'è bisogno di IdP Discovery.
Vorremmo configurare Okta modo che il flusso di autenticazione è la seguente:
La nostra applicazione reindirizza l'utente ad un endpoint in Okta che indica di utilizzare l'IdP sottostante per l'autenticazione
Okta e l'IdP sottostante fa tutto il necessario per autenticare l'utente e convalidare l'autenticazione
La nostra app riceve un'unica risposta (tramite HTTP-POST) al nostro endpoint ACS che autentica l'utente, firmato da Okta
Dal punto di vista dell'utente finale, navigano service-provider.com, vengono reindirizzate attraverso Okta a underlying-idp.com, eseguire l'autenticazione necessaria, e quindi vengono reindirizzati al fornitore di servizi .com. L'utente finale non è a conoscenza del livello medio di Okta, con la possibile eccezione dell'URL di Okta che appare brevemente nella barra degli indirizzi del browser durante i reindirizzamenti.
Finora, siamo stati in grado di configurare SAML in entrata nella nostra istanza di Okta in modo che gli utenti possano essere autenticati in Okta tramite l'IdP sottostante. Abbiamo il nostro reindirizzamento dell'app all'endpoint indicato nella pagina di configurazione SAML in entrata con SAMLRequest, ma questo porta gli utenti a un dashboard di Okta poiché il collegamento serve solo per autenticare gli utenti in Okta, non per autenticare gli utenti per un SP utilizzando Okta. Vedere la nostra configurazione rilevanti:
- Configuration for our app in Okta which allows us to use Okta as a direct IdP
- Configuration results of the Inbound SAML. We redirect our SAMLRequest to the Assertion Consumer Service URL given
Come possiamo configurare Okta modo che il nostro caso d'uso è possibile? Idealmente, vorremmo che Okta fungesse da intermediario o mediatore, controllando e trasmettendo le richieste/asserzioni SAML. Nello specifico, non abbiamo bisogno che questi utenti siano autenticati per gli utenti di Okta necessariamente; abbiamo solo bisogno di Okta per affermare che l'utente è chi dice di basarsi sull'asserzione dell'IDP sottostante.
Ho lo stesso problema con la possibilità di autenticarsi solo per arrivare nella dashboard di Okta. Sei riuscito a ottenere una risposta con questo? Sia il supporto e la documentazione di Okta non sono riusciti a spiegare come farlo. Questo sembra un caso d'uso comune (SAML in entrata autenticato e reindirizzamento a SP). – Theo