将Okta配置为在SP应用程序和IdP之间进行调解
我们是一家服务提供商,已启用SAML,允许IDP为我们验证用户身份。确保每个人都在同一页上
- 身份提供者(IdP)是一种应用程序,其工作是对用户进行身份验证
- 服务提供商(SP)是一种终端应用程序,它将身份和身份验证与IdP联合起来
- SAML是一种协议,允许IDP向SP做出可信的身份声明。我们正在使用SAML2.0(http://en.wikipedia.org/wiki/SAML_2.0)
有关联合身份的更多信息,请参见此处:http://developer.okta.com/docs/guides/saml_guidance.html
我们目前仅将Okta用作IdP,但遇到了需要与单独的IdP整合的情况。我们希望我们的应用程序只与Okta通信,并让Okta处理与这个单独的IdP的对话并验证他们的断言。由于我们的特定用例,我们的应用程序知道应该使用什么基础IdP,因此不需要IdP发现。
我们希望配置Okta,以便验证流程如下所示:
>
我们的应用程序将用户重定向到Okta中的endpoint,指示使用基础IdP进行身份验证
Okta和底层IdP执行任何必要的操作来验证用户和验证身份验证
我们的应用程序获得一个单一的响应(通过HTTP-POST)到我们的ACSendpoint验证用户,由Okta签名
从最终用户的角度来看,他们导航到service-provider.com,通过Okta被重定向到underlying-idp.com,执行必要的身份验证,然后被重定向回service-provider.com.最终用户不知道中间Okta层,除了在重定向期间浏览器地址栏中短暂出现的Okta URL之外。
到目前为止,我们已经能够在Okta实例中设置入站SAML,以便用户可以通过底层IdP在Okta中进行身份验证。我们使用SAMLRequest将应用程序重定向到入站SAML配置页面中给定的endpoint,但这会将用户带到Okta仪表板,因为该链接仅用于验证Okta中的用户,而不是使用Okta验证SP的用户。请参阅我们的相关配置:
- 在Okta中配置我们的应用程序,允许我们使用Okta作为直接的IdP
- 入站SAML的配置结果。我们将SAML请求重定向到给定的断言消费者服务URL
我们如何配置Okta以使我们的用例成为可能?理想情况下,我们希望Okta充当中间人或调解人,检查并传递SAML请求/断言。具体来说,我们不需要这些用户必须是经过身份验证的Okta用户;我们只需要Okta根据底层IdP的断言断言用户就是他们所说的用户。
共有2个答案
RelayState是SAML协议的一个参数,用于标识用户登录并指向后将访问的特定资源。通常在应用授予身份验证并将用户重定向到正确页面后,这是一个着陆页。
Okta支持使用入站SAML将下游IDP链接到您的流。Okta在需要在Okta上配置的规则集中执行用户发现。在Okta IDP上,创建了SAML IDP安全--
听起来您需要Okta在今年晚些时候的路线图上提供的IdP发现功能,并结合其入站SAML设置以及与其他IdP的关系。我相信可以通过自定义登录页面实现这一点。他们提到了通过专业服务来实现这一点,但就个人而言,当他们将IdP discovery构建到平台中时,我会感觉好多了。
-
我们有一个应用程序,我们希望使用户能够使用自己的身份提供商(如Google,ADFS等)登录我们的应用程序,并使用SAML 2.0作为协议。 在这种情况下,我们的应用程序将是SP,而身份提供商将是Google,ADFS。 但目前我们的应用程序没有 SAML 实现,因此我们希望使用 OneLogin/Okta/Auth0 等平台作为应用程序和 IdP 之间的中间代理,以便 SAML 相关处理可以在
-
因此,我的任务是为客户端的Oracle Hyperion应用程序启用SSO。我使用的方法是基于自定义标头变量的SSO。 平联邦目前作为许多应用程序的SSO身份验证服务器存在,计划是在它(平馈SP)从Okta IDP检索属性/身份验证用户时使用它作为目标应用程序的SP。 我对这个过程相对较新,因为您可能已经猜到了,并且正在寻找有关如何配置的澄清: > SP 从 Pingfed 启动 SSO,并从 O
-
我已成功配置SAML SSO,其中OpenAM为SP,PingFederate为IDP,SP启动SSO并使用重定向后绑定。我正在使用kerberos适配器实现SSO。 但是,我无法将RelayState参数从OpenAM传递给PF,并在成功验证后将其作为SAML自动post表单的一部分取回。它总是重定向到OpenAM断言处理服务,即OpenAM/metalias/sp 我试过的事情- > SAML
-
问题内容: 我是程序世界中的每个新手,我遇到一个问题,我的要求与使用JAVA Code在Android平板电脑与台式机之间的通信有关。 上面的代码是我的servlet代码,它在我的本地系统服务器(Tomcat 6.0)中运行,在这里,我正在通过println发送消息,并且我想在另一个系统中运行的Android应用中显示相同的消息。现在,我要发布在另一个系统上运行的android代码。 这里的192
-
我想将Okta配置为AWS Cognito标识池(不是用户池)的SAML IdP。 创建身份池时,我需要指定与AWS帐户关联的SAML IdP。作为定义IdP的一部分,我需要提供一个元数据文档文件: 要从Okta获取这个元数据文档,我需要在Okta中定义一个使用SAML集成的应用程序(即AWS是资源提供者,Okta是IdP): 这需要AWS提供2个我不知道如何获取的值: > 单一登录URL。Okt
-
我试图让HoK配置文件与Spring SAML作为SP和SimpleSAMLphp作为IdP一起工作。 SP获取客户端证书,然后向IdP发送以下身份验证请求,无问题: 作为响应,IdP在TLS握手期间请求客户端证书,然后获取他的用户名/密码并成功验证他。它发送以下响应: 看起来一切正常,但是Spring SAML抛出了以下异常: Spring SAML调试日志在此处: 错误为:HoK Subjec