我们已经设置了保管箱群集,我们正在尝试使用Okta对保管箱进行身份验证。启用了身份验证并对其进行了配置:
保管库验证启用正常 保管库写入auth / okta / config base_url =“ BASE_URL” Organization =“ ORG”令牌=“ TOKEN”
每当我尝试在Vault UI中针对Okta进行身份验证时,都会出现此错误:
身份验证失败:Okta身份验证失败:HTTP方法:POST-URL:https://org.okta.com/api/v1/authn:-HTTP状态代码:401,OKTA错误代码:E0000004,OKTA错误摘要:身份验证失败,OKTA错误原因:[] < / p>
要注意的是,我们将IDP用作Google。登录请求已发送到Google。在Okta,我们将google配置为IDP。
如果我将用户的凭据保存在Okta本身中,那么它将起作用。因此,当IDP为Google时,是否可以通过Okta进行身份验证?
答案 0 :(得分:2)
您正在保险柜中使用Okta auth method。这只会将您的凭据发布到Okta的AuthN端点上,以对其进行验证并根据响应授予访问权限。
使用Google作为Okta中的用户IDP,您需要在保险柜中设置JWT/OIDC auth method和configure Vault in Okta。用户进行身份验证后,他们的浏览器将重定向到Okta以完成登录,如果用户没有会话,则将其重定向到Google以进行身份验证。
答案 1 :(得分:0)
我对保险柜不熟悉,但是在我看来,保险柜正在执行简单的AuthN身份验证,基本上只是针对Okta检查用户名/密码。
因此,不幸的是,从我看到的与您提供的对Okta进行社交身份验证的内容来看,保险柜可能不支持登录到保险柜。
现在,如果您在Okta中创建本地帐户,并且身份验证有效,那么我们可以确认保险柜未正确支持联合身份验证(单一登录):(
不幸的是,保险柜需要支持联盟才能允许您通过Google登录,然后登录到保险柜。