0
我們的客戶使用Okta,並要求我們使用SAML啓用我們的應用程序,以便他們可以使用Okta中的idnet訪問它。SAML和標識
我們打算使用OpenSAML來做到這一點。到現在爲止還挺好。
但是通常,我們的應用程序可以訪問來自內部LDAP或AD的身份(用戶,組/成員的列表),例如。我們通常使用這些身份在我們的應用中配置授權(授予某些用戶訪問某些資源的權限)。僅使用SAML,我看不到如何訪問整個用戶/組列表。而據我所知,SAML的目標不是提供它。
這種情況通常如何解決?我們是否應該嘗試同步Okta和我們的應用程序之間的身份?這是所謂的供應嗎?有Okta API,SCIM,JIT,...或者我們應該採取完全不同的方法?
謝謝!
SAML中的授權通常使用身份提供商(在這種情況下爲Okta)返回給服務提供商(您)的屬性進行處理。您和您的客戶將決定使用哪些屬性進行授權。例如,您可以要求返回一個名爲'workgroups'的屬性,其值是用戶所屬組的逗號分隔列表。 – rlandster