2. 질의 응답
  3. Q : OKTA는 이슈 바인딩이며 요청하지 않은 식별자 공급자 액세스가 지원됩니까?

Q : OKTA는 이슈 바인딩이며 요청하지 않은 식별자 공급자 액세스가 지원됩니까?

2016-06-07 5 views
0

우리는 OKTA 가이드를 읽을 수 있지만이 개 해결되지 않은 질문이있다 :Q : OKTA는 이슈 바인딩이며 요청하지 않은 식별자 공급자 액세스가 지원됩니까?

  1. 않습니다 바인딩 OKTA 지원 유물 https://en.wikipedia.org/wiki/SAML_2.0#HTTP_Artifact_Binding
  2. OKTA/SAML 2.0 지원 요청하지 않은 ID 공급자 (IdP가) 아티팩트 바인딩 않습니다, 또는에 필수입니다 서비스 공급자 (SP)에서 리디렉션해야합니까? 첫 번째 질문

    우리는 많은 양의 데이터를 사용자 에이전트를 통해 전송되어야 할 것입니다 상황에 직면, 우리는 또한 보안 베스트 프랙티스에 의해 동기 부여에 관한

. SAML 2.0의 최상의 보안 모델은 이슈 바인딩입니다. 또한 사용자 에이전트의 부하를 줄이는데도 도움이됩니다. OKTA는 이슈 바인딩을 지원할 수 있습니까? 문서에서 긍정적이거나 부정적인 확인을 찾을 수 없었습니다. 이것이 우리 부분에 대한 감독 인 경우 많은 사과드립니다. 두 번째 질문

우리가 해결하는 문제에 대해서는

우리는 그들이 권장 제품의 포털이 조직을 통합하고있는 그들의 포털을 통해 액세스를 조직 한 것입니다. 이러한 각 제품에는 인증이 필요하므로 SSO (Single Sign On)에 적합한 경우입니다. 통합의 양측 모두 사용자 경험을 원합니다. 링크를 클릭하고 서비스에 로그인하십시오. 이는 워크 플로가 SP가 아닌 IdP에서 시작되므로 모든 SAML 2.0 작업 모드에서 대부분의 모델과 다릅니다. OKTA에서 가능합니까, 아니면 SAML 2.0에서 가능합니까? 우리가 문서에서 이것을 놓친다면 다시 사과드립니다.

출처

2016-06-07 John Whitley

답변

0

  1. Okta에서 생성 된 메타 데이터를 확인하십시오. SP로 전송 된 메시지의 이슈 바인딩을 지원하는 경우 메타 데이터에 ArtifactResolutionService가 나열됩니다.

  2. SAML2 표준은 원치 않는 아티팩트 바인딩을 지원합니다. 나는 Okta가 그러나하는지 모른다.

출처

2016-06-08 21:06:55

0

Okta는 메타 데이터를 확인할 때이 기능을 지원하지 않는 것 같습니다. 내가 Okta의 구성을 통해 검토 한 결과이 가능하도록 어쨌든 찾을 수 없습니다

<md:IDPSSODescriptor 
    protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> 
    <md:KeyDescriptor use="signing"> 
     <ds:KeyInfo>...</ds:KeyInfo> 
    </md:KeyDescriptor> 
    <md:ArtifactResolutionService isDefault="true" index="0" 
     Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" 
     Location="https://idp.example.org/SAML2/ArtifactResolution"/> 
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> 
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat> 
    <md:SingleSignOnService 
     Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" 
     Location="https://idp.example.org/SAML2/SSO/Redirect"/> 
    <md:SingleSignOnService 
     Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
     Location="https://idp.example.org/SAML2/SSO/POST"/> 
    <md:SingleSignOnService 
     Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" 
     Location="https://idp.example.org/SAML2/Artifact"/> 
    <saml:Attribute 
     NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" 
     Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" 
     FriendlyName="eduPersonAffiliation"> 
     <saml:AttributeValue>member</saml:AttributeValue> 
     <saml:AttributeValue>student</saml:AttributeValue> 
     <saml:AttributeValue>faculty</saml:AttributeValue> 
     <saml:AttributeValue>employee</saml:AttributeValue> 
     <saml:AttributeValue>staff</saml:AttributeValue> 
    </saml:Attribute> 
    </md:IDPSSODescriptor>

은 그래서 가능한 서비스로 표시됩니다 :

Wikipedia는 ArtifactResolutionService 항목이 메타 데이터에 어떻게 보이는지 보여줍니다.

출처

2017-12-08 10:46:52 Appetere

 관련 문제

  • 관련 문제 없음^_^