我使用okta sign-in widget对我们的应用程序中的用户进行身份验证。问题在于,当“防止跨网站跟踪”时在Safari中检查(FF有类似的设置),登录仍然有效,但单点登录,MFA'不挑战'和Okta会话创建不起作用。如果我取消选中设置,一切都按预期工作。
使用Chrome,我可以使用静默(无浏览器网址重定向)方法从Okta中检索访问令牌。浏览器可以加载Okta会话,并使用MFA功能"不要再次在此设备上挑战我"完全没问题。
但是,使用相同的代码,Safari不允许我加载Okta会话,也不会停止根据用户使用的设备向用户提出挑战(当选中该选项时...未检查时完全正常)。
所以我切换代码使用response.session.setCookieAndRedirect('http://mysite/login')模式,认为重定向到Okta的网站会解决问题..我可以看到浏览器重定向到Okta然后回到我的网站然而,在代码参数中访问令牌,结果相同。
我读过的一件事说用户必须互动'与第三方网站..不完全确定什么'互动'虽然意味着..它似乎意味着超过'重定向通过'该网站。
任何人都有更好的模式,可以在具有更强第三方cookie保护的浏览器中运行(例如FF和Safari)?
答案 0 :(得分:0)
似乎解决此问题的唯一方法是将自定义域应用于您的 Okta 租户和应用程序,以便它们匹配,即 Okta 域为 matt.okta.com,应用程序域为 app.matt.com。它不再是第 3 方 cookie,因为它与 Okta 相关联,因此风险更低。