Cloud Directory API包含许多有用的API。但是documentation建议使用手写登录页面来处理登录。这是一个很大的麻烦。
是否无法将Cloud Directory API与委派的登录页面一起使用?是否可以将SAML令牌或OpenID Connect令牌转换为oauth2令牌(两者均支持委托登录)?
答案 0 :(得分:0)
一种解决方法是:
尽管这可能不满足最小特权原则(因为我们必须授予服务器只读权限)。
答案 1 :(得分:0)
IdP(或OAuth2 / OIDC的授权服务器)的目的是将身份验证委托给该服务,包括身份验证挑战。除非您有Onelogin不能满足的非常具体的品牌要求(或Okta或Auth0等...),否则不需要编码自定义身份验证屏幕。
通过委派第三方身份验证提供程序,您删除了自定义身份验证屏幕在捕获用户凭据方面成为不良行为者的功能。利用SAML或OIDC时,应用程序本身永远看不到用户的信誉。
因此,除非我对您的问题有误解,否则Onelogin会完全满足您的要求(其他IDaaS / IdP也是如此)。您只需要触发首选的SSO协议即可。