将Okta配置为在我们的SP应用程序和IdP之间进行中介
我们是一个服务提供商,SAML使我们的应用程序允许国内流离失所者为我们认证用户。确保每个人都站在同一条战线上
- 身份提供者(IdP)是一个应用程序,它的任务是对用户进行身份验证。
- 服务提供者( Service,SP)是一个终端应用程序,它将身份和身份验证联合到IdP。
- SAML是一种协议,允许国内流离失所者对SPs进行可信的身份断言。我们正在使用SAML2.0 (2.0)
有关联邦身份的更多信息,请参见:guidance.html
我们目前只使用Okta作为IdP,但遇到了需要与单独的IdP集成的情况。我们希望我们的应用程序只与Okta通信,让Okta与这个单独的IdP进行对话,并验证他们的断言。由于我们的特殊用例,我们的应用程序知道应该使用什么基础IdP,所以不需要IdP发现。
我们希望配置Okta,使身份验证流如下所示:
- 我们的应用程序将用户重定向到Okta中的一个端点,指示要使用基础IdP进行身份验证。
- Okta和底层IdP做任何必要的事情来验证用户和验证身份验证。
- 我们的应用程序获得一个响应(通过HTTP-POST)来验证用户的ACS端点,并由Okta签名。
从最终用户的角度来看,他们导航到service-provider.com,通过Okta重定向到基础-idp.com,执行必要的身份验证,然后重定向到service-provider.com。最终用户不知道中间的Okta层,除了在重定向过程中可能出现在浏览器地址栏中的Okta URL之外。
到目前为止,我们已经能够在Okta实例中设置入站SAML,以便通过底层IdP在Okta中对用户进行身份验证。我们的应用程序用SAMLRequest重定向到入站SAML配置页面中给出的端点,但这会将用户带到Okta仪表板,因为该链接仅用于验证Okta中的用户,而不是使用Okta对SP的用户进行身份验证。请参阅我们的相关配置:
- 我们在Okta中的应用程序的配置,它允许我们使用Okta作为直接IdP
- 入站SAML的配置结果。我们将SAMLRequest重定向到给定的断言消费者服务URL
我们如何配置Okta,使我们的用例成为可能?理想情况下,我们希望Okta充当中间人或中介,检查和传递SAML请求/断言。具体来说,我们不需要这些用户对Okta用户进行身份验证;我们只需要Okta断言用户就是他们所说的基于底层IdP断言的用户。
回答 2
Stack Overflow用户
发布于 2016-05-06 15:31:02
听起来好像你需要Okta今年晚些时候在路线图上拥有的IdP发现功能,再加上他们的入站SAML设置以及与其他IdP的关系。我相信可以用一个自定义登录页面来实现这一点。他们提到用专业的服务来做这件事,但是当他们将IdP发现构建到这个平台中时,我个人会感觉好多了。
Stack Overflow用户
发布于 2020-02-13 22:15:03
RelayState是SAML协议的一个参数,用于标识用户在登录和定向后将访问的特定资源。通常,这是一个登陆页,一旦认证被授予并被应用程序用于重定向用户到正确的页面。
Okta支持此流,使用入站SAML将下游IDP链接到流。Okta在您需要在Okta上配置的规则集中执行用户发现。在Okta IDP上,创建了SAML IDP安全性-->标识提供者,并添加了SAML IDP。提供下游IDP的URL上的标志。然后为Okta IDP添加路由规则,并对IP、设备、应用程序、目录属性或组进行筛选,以使用在Okta中创建的IDP。然后,在下游的IDP上,您必须创建一个SAML应用程序,将断言返回到SP端点。Okta不支持SAML深层链接,因此您必须在初始的RelayState请求中传递SAML,以便下游的IDP可以将其返回给应用程序,该应用程序名为HTTP302,使用它的值重定向。
https://stackoverflow.com/questions/35233261
复制相似问题
腾讯云开发者
