我们成功实施了SSO,Okta作为IdP,外部PHP站点作为SP。我们目前正在使用Okta Sign On Widget向我们的PHP SP发送一个SAML2令牌。
问题是,我们现在可以从小部件更改为API,并且仍然可以通过API成功登录时获取SAML 2令牌吗?
答案 0 :(得分:0)
所以,自发布以来我发现了 - '是的,你可以'。我不知道这是否是最干净/最好的方式,但它有效,这里是如何做到这一点,以防其他任何人陷入困境看着这个问题......
已经在Okta作为IdP和。之间进行SAML2通信 PHP站点为SP。
在Okta中创建API访问令牌。
使用访问令牌发布一次性使用令牌的请求 要登录的特定用户的API: http://developer.okta.com/docs/api/resources/sessions.html
将用户使用检索到的一次性会话令牌重定向到您的 应用程序使用一次性会话令牌嵌入链接: http://developer.okta.com/docs/examples/session_cookie.html#retrieving-a-session-cookie-by-visiting-an-application-embed-link
这会将用户登录到Okta以获得我们可以进行的正确会话 用于发送到我们的PHP端点以获取我们想要的SAML2令牌 同时利用API的完全自定义优势。