Мы - поставщик услуг, который включил SAML в наше приложение, чтобы IdP могли аутентифицировать пользователей за нас. Чтобы все были на одной странице
- Поставщик идентификационной информации (IdP) - это приложение, задачей которого является аутентификация пользователей.
- Поставщик услуг (SP) - это конечное приложение, которое объединяет удостоверения и аутентификацию для IdP.
- SAML - это протокол, позволяющий IdP делать достоверные утверждения идентичности поставщикам SP. Мы используем SAML 2.0 (http://en.wikipedia.org/wiki/SAML_2.0 а>)
Дополнительная информация о федеративной идентификации здесь: http://developer.okta.com/docs/guides/saml_guidance.html
В настоящее время мы используем Okta только в качестве IdP, но столкнулись с ситуацией, когда нам необходимо интегрироваться с отдельным IdP. Мы хотели бы, чтобы наше приложение взаимодействовало только с Okta и чтобы Okta взаимодействовала с этим отдельным IdP и проверяла их утверждения. Благодаря нашему конкретному варианту использования наше приложение знает, какой базовый IdP следует использовать, поэтому нет необходимости в обнаружении IdP.
Мы хотели бы настроить Okta так, чтобы поток аутентификации был следующим:
Наше приложение перенаправляет пользователя на конечную точку в Okta, указывая на использование базового IdP для аутентификации.
Okta и соответствующий IdP делают все необходимое для аутентификации пользователя и проверки аутентификации.
Наше приложение получает один ответ (через HTTP-POST) на нашу конечную точку ACS, аутентифицируя пользователя, подписанный Okta.
С точки зрения конечного пользователя, они переходят на service-provider.com, перенаправляются через Okta на базовый idp.com, выполняют необходимую аутентификацию, а затем перенаправляются обратно на service-provider.com. Конечный пользователь не знает о среднем уровне Okta, за возможным исключением URL-адреса Okta, который ненадолго появляется в адресной строке браузера во время перенаправления.
До сих пор мы могли настроить входящий SAML в нашем экземпляре Okta, чтобы пользователи могли аутентифицироваться в Okta через базовый IdP. У нас есть перенаправление нашего приложения на конечную точку, указанную на странице конфигурации входящего SAML с помощью SAMLRequest, но это приводит пользователей к панели управления Okta, поскольку ссылка предназначена только для аутентификации пользователей в Okta, а не для аутентификации пользователей для SP с помощью Okta. Смотрите нашу соответствующую конфигурацию:
- Конфигурация для нашего приложения в Okta, которая позволяет нам использовать Okta в качестве прямого IdP
- Результаты настройки входящего SAML. Мы перенаправляем наш SAMLRequest на указанный URL-адрес службы поддержки утверждений
Как мы можем настроить Okta, чтобы наш вариант использования был возможен? В идеале мы хотели бы, чтобы Okta выступала в качестве посредника или посредника, проверяя и передавая запросы / утверждения SAML. В частности, нам необязательно, чтобы эти пользователи были аутентифицированными пользователями Okta; нам просто нужно, чтобы Okta утверждал, что пользователь является тем, кем они себя называют, на основе утверждения лежащего в основе IdP.