我必须在客户端站点实现 Okta SSO。
这是客户要求 1.合作伙伴可以直接SSO到客户门户。 2. 客户端门户还内部链接到 8 个不同的 Web 属性。合作伙伴的用户也应该能够无缝导航到这 8 个网络媒体资源。
因此流程是合作伙伴 - SSO 到主客户端门户 - 在内部 SSO 到 8 个 Web 属性中的一个或多个。
我正在考虑构建此流程的最佳方式。这是我的想法: 1. 合作伙伴门户将成为 IDP。他们将向客户端门户发送入站 SAML 断言。客户端门户将使用 SAML 断言对 OKTA 中的用户进行 JIT 供应。 2. 在此之后我有点迷失了流程......我是否还必须在 Okta SP 端配置 8 个 Web 属性中的每一个。当用户导航到内部 Web 属性时,将如何维护 SSO session ?
如果我的方法有误或者遗漏了什么,请指正。
最佳答案
您所描述的是 Hub/Spoke 风格的架构,其中合作伙伴是 Spoke Okta Org,而客户端是 Hub Okta Org。客户端需要对 8 个应用程序进行身份验证,还需要您将合作伙伴组织添加为 IDP。将该 IDP 配置为 JIT,将用户创建到您选择的组中,从而授予他们访问所需应用程序的权限。
接下来,使用 SAML 向导在 Partner Spoke 组织中配置一个新应用,并使用 HUB IDP 条目提供的信息。将该应用程序的重定向 URL 设置为中心的应用程序嵌入式链接,它应该可以在合作伙伴门户中使用。
关于saml - okta sso(合作伙伴集成),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30067203/