Скажем, у нас есть SPA, который опирается на API из моего приложения.И SPA, и REST API размещены на одном сервере.Теперь я использую инициированный IDP федеративный единый вход на основе SAML.
Я четко знаю вовлеченные стороны и как устанавливается доверие.
- Для каждого клиента, с которым нам нужно интегрироваться, сначала получите подробные сведения о конфигурации, такие как IDP ID, цифровой сертификат иподелиться подробностями, такими как URL-адрес SAML ACS со стороны моего веб-приложения.
- Со стороны клиента они добавляют мое приложение в качестве Проверяющей стороны с URL-адресом SAML ACS, который мы предоставляем.
- Пользователи проходят аутентификацию в IDP, а затем SAMLResponse публикуется на мой URL-адрес ACS.
- Мы можем проверить этот SAMLResponse, а также наблюдать NameID, чтобы идентифицировать пользователя и перейти к предоставлению доступа к API на моем сервере.
Теперь, если предположить, что IDP на стороне клиента является OIDC-совместимым сервисом, таким как Okta, могу ли я добиться аналогичного процесса аутентификации, внеся некоторые изменения и на моем сервере.Похоже, это возможно, но я не могу собрать полную картину.
Исходя из моего понимания OIDC, он выглядит следующим образом:
- SPA - это клиент
- Мой сервер, предоставляющий REST API, - это сервер ресурсов.
- IDP клиента (Okta) - это сервер авторизации.
Из прочитанных мною статей кажется, что SPA сначала должен позвонить на сервер авторизации, чтобы получить токен доступа изатем используйте этот токен доступа для вызова API userInfo на сервере ресурсов.Тогда это выглядит как пункт № 2 выше, что мой сервер является сервером ресурсов неправильно.IDP клиента должен быть одновременно и сервером авторизации, и сервером ресурсов?
В таком случае, где мой сервер вписывается в весь поток OIDC?
Как устанавливается доверие между Okta (IDP клиента) и моим сервером?
Можно ли достичь потока, эквивалентного инициированному IDP потоку Fed SSO (с использованием SAML) в OIDC?