問題タブ [okta]

Python で記述された django アプリケーションを okta IDP で認証しようとしています。SP側とIDP側でもほぼすべてを構成しました。ここで、ユーザーがパブリッシャー、エディター、または管理者であることを SP にアサートする IDP からカスタム変数を渡し、さらにこれを django 形式のデータベース ( auth_user_groupsテーブル内) に保存する必要があります。誰かがこれをやろうとしましたか、または誰かがこれについて考えていますか?

IDP からの属性マッピングによってカスタム変数値を取得できます。ただし、これにより、カスタム属性をユーザー テーブルにのみ保存できます。私の質問についてここで明確にしていない場合はお知らせください。

現在、モバイル アプリとデスクトップ アプリをサポートしています。当社の製品はややユニークです。独自の安全な認証方法があります。しかし、私は Okta を統合して、顧客の ActiveDirectory で認証情報を検証する任務を負っています。彼らは現在 Okta の顧客です。

理想的には、Windows .NET クライアントをプログラムしてユーザー資格情報を認証し、サーバー アプリケーションに (安全に) 情報を渡して、セッションを検証し、さらに API を呼び出してユーザー属性を取得できるようにすることです。

現在、パスワードを平文でサーバーに送信していません。ハッシュを使用して、受信ハッシュを永続化ハッシュと比較するだけです。この問題を解決する簡単な方法は、クリア テキストのパスワードを許可し、サーバーにユーザーを認証させ、すべての作業を実行させ、通常のプロセスの一部として独自のトークンを返すことです。

クライアント側で SAML トークンを取得してサーバー側で検証し、Okta にアクセスする方法はありますか? クライアント側で SAML アサーションを生成し、応答をサーバーに渡す必要がありますか?

非アクティブ化されたユーザーを Okta でアクティブ化できるかどうかは、 API ドキュメントからは不明です。非アクティブ化されたときにプロビジョニング解除された状態になることがわかり、ユーザーがアプリケーションから引き出されることはわかっています (すべてドキュメントによると) が、私の質問はドキュメントで回答されていません。

ユーザーのステータスを「STAGED」に設定し、更新された Profile オブジェクトを使用して更新し、アクティブ化を呼び出すことはできますか?

カスタム属性を SP に渡すときに問題に直面しています。

詳細: IDP に developersOKTA 管理者プロファイルを使用しています。私のSPは、Django/jinja/Django-CMSを使用するpythonアプリケーションです

私のアプリのattribute statement価値はこれです。

試行 1:

userName|${user.userName}|urn:oasis:names:tc:SAML:2.0:attrname-format:basic, firstName|${user.firstName}|urn:oasis:names:tc:SAML:2.0:attrname- format:basic, lastName|${user.lastName}|urn:oasis:names:tc:SAML:2.0:attrname-format:basic, email|${user.email}|urn:oasis:names:tc:SAML: 2.0:attrname-format:basic, is_publisher|${template_saml_2_0.is_publisher}|urn:oasis:names:tc:SAML:2.0:attrname-format:basic, userRole|${template_saml_2_0.userRole}|urn:oasis:names: tc:SAML:2.0:attrname-format:basic,

ここで、is_publisher (ブール型) とuserRole (文字列型) はカスタム属性で定義され、ユーザー プロファイルとアプリ ユーザー プロファイルの両方で値が指定されます。そして、template_saml_2_0はアプリ ユーザー オブジェクトであり、userはユーザー オブジェクトです。

次に、これらの変数をまとめてマッピングしました。

okta->app のマッピング

user.is_publisher は is_publisher にマップされ、

app->okta のマッピング

appuser.is_publisher は is_publisher にマップされます。

他の属性についても同様です。

アプリ チクレットをクリックすると、この属性ステートメントで「500 内部サーバー エラー」が生成されます。このエラーは、okta が SP を呼び出す前にトリガーされます。SP のログに何も記録されていないことがわかりました。また、OKTA IDP のログを追跡する方法もわかりません。

試行 2:。

ここでは、カスタム属性のユーザー オブジェクトから値を取得し、残りは試行 1 と同じにします。

is_publisher|${user.is_publisher}|urn:oasis:names:tc:SAML:2.0:attrname-format:basic, userRole|${user.userRole}|urn:oasis:names:tc:SAML:2.0:attrname-形式:基本、

この変更により、OKTA によって SP に渡されるアサーション xml のis_publisher (ブール型) ではなく、 userRole (文字列型)の値が得られます。カスタム属性が文字列型のみで、他の型ではない場合、これは値を返すと思います。そうですか？

どこが間違っているのか教えてください。Attempt1 で失敗したアプリケーションに応じて、ユーザーの役割を設定する必要があります。Attempt2 では、String 型の CustomAttribute の値のみを取得しています。

OKTA 経由で SSO を実装しようとしています。そして、次の方法で SAMLResponse テキストを取得できます

文字列を XML 形式に変換する

ユーザーの情報は、X509Certificate、FirstName、LastName、Email などの文字列 samlAssertion に含まれています。問題は、検証されているかどうかを確認する方法です。

ASP.NET MVC Web サイトを開発する必要があります。認証には、OKTA を認証プロバイダーとして使用することにしました。Okta API は使用したくありませんが、SAML 実装を使用したいと考えています。これに関する記事やガイドラインはありますか? また、これを WCF サービスに拡張する方法を知りたいです。これらはすべて Azure でホストされます。

アプリを追加したばかりNetDocumentsで、ユーザーをログインしようとしています。NetDocuments次のメッセージで資格情報を拒否します。

ログイン エラー: 80131501 SAML 要求 ID が無効です
サポート ページにアクセスしてください。

ログインフォームが表示されますが、これは問題なく機能します。

NetDocumentsログインページに 2 つのフィールドがあります:EmailまたはUsername. 私たちのアカウントNetDocumentsは、ユーザー名フィールドを使用するように設定されています (電子メール フィールドを使用しても機能しません)。

Oktaただし、セットアップでそれを選択する方法はありません。それで、Okta私の情報をユーザー名フィールドに渡していますか？それともメール欄？

ありがとう！

複数のセールスフォース「アプリ」を okta に配置し、それぞれにプロビジョニングを設定したいと考えています。基本のセールスフォース アカウントを実際にプロビジョニングする「基本」アカウントがあります。しかし、追加の権限セットをプロビジョニング (または削除) するだけの okta で構成された追加の salesforce "アプリ" が必要です - 基本アカウントへの権限セットの追加または削除。これらの権限セットは、同じ salesforce 組織でホストされているカスタム force.com アプリへのアクセスを許可または取り消すことを表します。

次のマッピングを使用してこれを実行しようとしました。

マップ先:

上記は、「my perm set」権限セットを、salesforce アカウントが既に持っている権限セットに追加するだけであるという考えです。

しかし、次のエラーが表示されます：

また、プロビジョニング解除ロジックを構成する機会がある場所もわかりません...次のようになります。

私がここでやろうとしていることを達成する方法はありますか?