迁移到SSO:现有OAuth集成

2019-09-04 14:0551

晚上好,

我的小组正在推出SSO-yay。我们有几个应用程序直接使用麒麟进行身份验证,并且所有令牌刷新都是自动处理的。迁移到SSO后,我们没有将这些服务(APP)帐户包括在我们的AD中,因此他们无法通过SSO网关访问。

我对循环中使用SSO提供程序的OAuth如何工作的理解:

我们仍然可以直接使用麒麟启动OAuth握手-但是麒麟会将此请求转发给SSO提供程序。然后,SSO提供程序将对凭据进行身份验证,并将“All Good”传回麒麟,后者将颁发auth_token。这是基于以下来自麒麟的内容:

“如果您通过麒麟的OAuth 2.0验证您的应用程序,您的应用程序将自动允许客户使用他们的公司凭据登录,就像他们对其他麒麟应用程序所做的一样。这也适用于流行的商业服务,如Okta、One Login和Ping。“

https:/docs.qilinyue2016.com/docs/oauth-20

以及这张照片:

所以如果外部应用程序的麒麟服务帐户不在SSO的AD中(缩写太多),他们应该无法进行身份验证,对吗?

但这些应用程序继续能够进行身份验证。他们能够刷新其令牌并继续访问麒麟,即使在迁移到SSO之后也是如此。

我理解中的缺陷在哪里?

解决了!去解决问题。

最新评论
  • hh3158565
    hh31585652019-09-04 15:24

    是,这是完全正确的!

  • 吃虾米的小于
    吃虾米的小于2019-09-04 14:54

    太棒了!

    让我重复一遍,以确保我完全理解。只要当前的AUTH_TOKEN继续按原样刷新,我们就会没事。但是,如果由于任何原因,该特定帐户注销或错过刷新并需要重新验证,则它将通过SSO门。

    我理解正确吗?

  • 第三方文静
    第三方文静2019-09-04 14:30

    你好!关于这种情况有几件事需要注意。1.Salesforce集成与我们所有的第三方应用程序和集成一样,使用持久身份验证令牌模型。这意味着,除非用户故意将他们从应用程序中注销,或者管理员停用或删除了他们的帐户,否则该用户在初次登录后将永远不需要重新进行身份验证。相反,应用程序/集成将刷新其令牌。刷新令牌不需要单步执行SSO登录流程,而生成一组初始令牌则需要。2.SSO状态的更改,无论是在SSO OFF、ENABLED和REQUIRED之间,还是在两个不同的连接之间,都不会对现有的身份验证会话产生影响。当打开SSO时,用户不会被强制注销。只有在下次尝试登录时,新的SSO流才会发挥作用。在这种情况下,在SSO推出之前,这些用户已经在集成中进行了身份验证。SSO更改将影响行为,因为这些用户将需要通过SSO进行身份验证;但是,由于持续身份验证模型,“下一次登录”实际上永远不会发生,这些用户可以继续刷新令牌并保留访问权限,而无需再次挑战身份验证到IDP。