2

OneLogin を使用して、ユーザー名/パスワードを取得し、他のサイトへの認証に使用できる SAML アサーションを生成するコマンド ライン プログラムを作成したいと考えています。

問題は、「Generate SAML Assertion」API 自体を呼び出すには、API 資格情報から生成されたアクセス トークンが必要になることです。そのため、アプリをユーザーに配布するには、その呼び出しを行うために API 資格情報を焼き込む必要があります。それは問題ありませんが、呼び出し元が SAML リソースへの POST を許可する唯一の承認プロファイルは「Manage All」です。これは、安全に与えるよりもはるかに多くの権限です。

誰かがこのようなことをしましたか?

OneLogin の皆さん、SAML アサーション API のみを呼び出すための API クレデンシャル タイプを追加できますか? または、API をオープンにすることもできます。(AWS の「AssumeRoleWithSAML」API はユーザー資格情報を必要としないことに注意してください。API の要点は、別の資格情報タイプに変換したい資格情報があることです。)

4

3 に答える 3

1

SAML トークンを生成するための個人用アプリケーションを開発者に提供しますか? それとも、SAML トークンを返す Web サービスを構築しますか?

前者は良くありません (アプリがキーを持っているため)、後者ははるかに安全です。

キー (ID とシークレット) を使用して SAML アサーションを取得するために必要な権限を引き下げる場合でも、これを Web サービスとして構築することを検討する必要があります。コマンド ライン ツールが SAML アサーションを取得するために呼び出す必要があるもの。

一般的な意見に反して、クラウドベースはより優れたセキュリティを意味するためです。

于 2016-08-17T04:57:07.087 に答える