从身份平台SAML ACS重定向（将Okta与Google身份平台集成）

问题：我正在尝试将谷歌身份平台SAML提供商与Okta整合。通常，使用GIP提供者的流程是提供提供者ID并等待回调的过程。这在Okta作为身份的情况下是正确的。

答：
（1）Okta支持第三方SAML身份提供商，如谷歌身份平台或Shibboleth身份提供商。

（一） Google Identity Platform是SAML身份提供商。Okta是SAML服务提供商。

（二） Okta是SAML身份提供者。Web应用程序（如Office 365、Salesforce、Dropbox、Box等）是SAML服务提供商。

（2） 用户可以使用Okta的第三方SAML身份提供商的凭据通过Okta登录到web应用程序。

我已经从Web应用程序的角度验证了Salesforce（Web应用程序）的以下用户身份联合过程：

（i）用户访问其Salesforce组织域（如https://example.my.salesforce.com/）

（II）选择使用不同的提供商登录

（三） 用户通过Okta被重定向到Google Identity Platform

（四） 用户提交他们的Google G Suite用户名/密码凭证（例如winston。hong@example.com )

（五） 用户被Google Identity Platform和Okta重定向回，然后成功登录到他们的Salesforce帐户。

请注意，谷歌身份平台、Okta账户和Salesforce账户的用户名是相同的，即winston.hong@example.com其组织example.com

问题：然而，为了创建Okta集成（并允许用户单击应用程序并被带到网站），您需要提供ACS（断言消费者服务），在这种情况下，这将是https://my-app-12345.firebaseapp.com/__/auth/handler然而，当此发布到，并收到SAML响应时，没有办法重定向到我们的网页。有没有办法直接使用SAML提供商的ACS，但仍然将结果返回到JS网页？

答：
（1）作为SAML身份提供者，Okta支持SAML SP启动的流和SAML IdP启动的流。作为SAML服务提供商，Salesforce支持SAML SP发起的流程。

（2）为了创建Okta集成并允许用户单击应用程序并被带到网站（如Salesforce组织域https://example.my.salesforce.com/），您不需要提供ACS（断言消费者服务）URL，而是需要提供Salesforce的组织域，即，

Application label Salesforce.com
Instance Type Production
Custom Domain example

（3） 用户可以使用Okta的第三方SAML身份提供商的凭据通过Okta登录到web应用程序。

我已经从Okta的角度验证了Salesforce（一个web应用程序）的以下用户身份联合过程（这是您的用例）：

（一） 用户访问其Okta组织域（例如https://example.okta.com/)

（二） 单击需要帮助登录吗？然后点击谷歌登录

（三） 用户被重定向到Google Identity Platform

（四） 用户提交他们的Google G Suite用户名/密码凭证（例如winston。hong@example.com )

（五） 用户被重定向回，然后成功登录到其Okta帐户

（六） 在Okta主屏幕上，用户单击Salesforce应用程序图标

（VII）用户被重定向到其Salesforce组织域，然后成功登录到其Salesforce帐户。

问题：
引用"然而，当这张邮件被发布到，并且收到SAML响应时，没有办法重定向到我们的网页。有没有办法直接使用SAML提供商的ACS，但仍然将结果返回到JS网页？"

解决方案：
（1）这正是web应用程序的SAML SP ACS问题https://my-app-12345.firebaseapp.com/__/auth/handler.

（2）您必须修改Web应用程序的SAML SP配置或Web应用程序的SAML SP源代码，因为验证Okta SAML IdP发送的SAML签名后，Web应用程序的SAML SP ACSendpoint不会重定向到Web应用程序页面。

（3） 我已经从Okta的角度（这是您的用例）验证了Shibboleth SAML SP演示应用程序（与您的web应用程序并行的web应用程序）的以下用户身份联合过程：

（一） 用户访问其Okta组织域（例如https://example.okta.com/)

（二） 单击需要帮助登录吗？然后点击谷歌登录

（三） 用户被重定向到Google Identity Platform

（四） 用户提交他们的Google G Suite用户名/密码凭证（例如winston。hong@example.com )

（五） 用户被重定向回，然后成功登录到其Okta帐户

（六） 在Okta主屏幕上，用户单击Shibboleth SAML SP演示应用程序图标

（七） 用户被重定向到Shibboleth SAML SP演示应用程序，然后成功登录到其Shibboleth SAML SP演示应用程序。

（4） 通过Okta管理GUI配置通用SAML SP应用程序

Shibboleth SAML SP演示应用程序（与web应用程序my-app-12345.firebaseapp.com并行）

应用

Single Sign On URL https://samlsp.example.com/Shibboleth.sso/SAML2/POST
Recipient URL https://samlsp.example.com/Shibboleth.sso/SAML2/POST
Destination URL https://samlsp.example.com/Shibboleth.sso/SAML2/POST
Audience Restriction https://samlsp.example.com/Shibboleth.sso/Metadata

请注意，单点登录URL是web应用程序SAML SP的ACS URL。

（5） 如何在GitHub repository中使用Docker容器构建和运行Shibboleth SAML IdP和SP，提供了使用Shibboleth SAML IdP和OpenLDAP在Java中构建自己的SAML IdP的说明。

>

OpenLDAP负责身份验证。

（I）我已经验证了由运行Docker的Shibboleth SAML IdP（身份提供程序）和OpenLDAP为以下企业应用程序提供的SAML单一登录（SSO）。换句话说，我利用运行Docker的Shibboleth SAML IdP和OpenLDAP成功登录到以下企业应用程序。

Microsoft Office 365
Google G Suite
Salesforce
Dropbox
Box
Amazon AWS
OpenStack
Citrix NetScaler
VMware vCloud Director
Oracle NetSuite

（II）我还利用Docker运行的Shibboleth SAML IdP和OpenLDAP成功地通过Okta登录到Salesforce和Shibboleth SAML SP演示应用程序。

Shibboleth SAML IdP是SAML身份提供商（与谷歌身份平台并行），Okta是SAML服务提供商。

Okta是SAML身份提供商。网络应用程序（如Salesforce和Shibboleth SAML SP应用程序）是SAML服务提供商。

（三）为了您的方便，我已经第11次promise上传Okta SP元数据和相应的SAML配置到如何使用Docker容器构建和运行Shibboleth SAML IdP和SP。
请注意，我已经通过Okta成功登录了用户名为winston.hong@example.com的Salesforce组织“example.com”帐户（https://example.my.salesforce.com）。

（四） 如何使用Docker容器构建和运行Shibboleth SAML IdP和SP为SAML SP演示应用程序提供了SAML SP配置。