我们的客户正在使用Okta,并要求我们为我们的应用程序启用SAML,以便他们可以使用Okta中的idnetities访问它。
我们计划使用OpenSAML来完成它。到目前为止一切都很好。
但通常情况下,我们的应用可以访问来自本地LDAP或AD的身份(用户,群组/成员列表)。我们通常使用这些身份在我们的应用程序中配置授权(授予某些用户访问某些资源的权限)。仅使用SAML,我看不到如何访问整个用户/组列表。根据我的理解,提供它并不是SAML的目标。
这种情况通常如何解决?我们应该尝试同步Okta和我们的应用程序之间的身份吗?这是什么叫做配置?有Okta API,SCIM,JIT,......或者我们应该采取完全不同的方法?
谢谢!
答案 0 :(得分:0)
在SAML中处理授权的典型方法是使用SAML断言来确定用户应具有的授权。使用哪种断言以及取决于您的授权模式。
请注意,使用断言会将确定授权的责任推送到SAML身份提供商的管理员,最多由他们决定谁有权访问这些内容。
支持“企业联合”的理想情况是支持SSO和Provisioning。用于SSO和SCIM的SAML或OIDC用于供应。
如果您的软件不依赖于最新的用户列表,那么仅使用“JIT”支持SAML就足够了。具有“JIT”或“及时”配置的SAML仅意味着您的SAML服务提供商实施将添加之前从未见过的用户。