我为我们的应用程序设置了多租户设置,例如:
1.t1.xyz.com 2.t2.xyz.com
我希望两个人都和okta谈谈为这两个租户设置不同的IDP。像t1.xyz.com应该与shibboleth交谈,t2.xyz.com应该使用ping身份,或者可能是另一个租户将使用okta作为IDP。
我见过的其他解决方案是针对每个租户使用不同的帐户,这是不可行的。我们可以使用针对差异租户的okta应用程序来完成它。或者如果有人有不同的解决方案,请回复。
答案 0 :(得分:1)
我们必须从网址中识别租户。基于此,在应用程序中,您可以重定向到相应的IDP [Shibboleth或PingIdentity等]。
但是,如果所有IDP都使用像OAuth2这样的通用协议进行通话,这种方法就可以正常工作。我用OAuth2做了一个实现。我确实编写了一个通用的oauth中间件,可以处理任何OAuth2提供程序。
但是,如果您的想法是将Okta用作内部处理各种IDP的IDP,则必须使用组[租户代码/ ID]启动登录请求,以便它可以查找身份提供者并相应地重定向