Моя цель - внедрить SSO Service Provider в моем веб-приложении, но у меня возникают проблемы с пониманием SSO с Google в качестве Identity Provider по сравнению с другими IdP.
Я создал два POC, один из которыхиспользует SAML и другой, который использует OpenID Connect. Кажется, что оба работают хорошо.
Я заметил, что с протестированными провайдерами идентификации (OneLogin, Okta) для обоих методов SSO (OIDC, SAML) мне нужно создать приложениеи назначить авторизованных пользователей для этого приложения на моем IdP. Когда пользователь пытается войти в систему, он будет успешным, только если он является одним из авторизованных пользователей. По сути, это означает, что мне не нужно управлять приглашениями и авторизованными пользователями внутри моего приложения, так как оно делегировано приложению, определенному в провайдере идентификации.
Однако с Google в качестве провайдера IdP нет 'раздел назначенных пользователей для приложения SAML и с OpenID Connect, мне даже не требуется создавать приложение, в котором можно управлять пользователями (только учетные данные OAuth 2.0). По сути, это означает, что с Google в качестве Identity Provider мне нужно внутреннее управление авторизованными пользователями, так как Google авторизует любого пользователя, который вошел в систему с помощью Google, и дает согласие на передачу своих личных данных.
Буду благодарен, если кто-то сможетдемистифицируйте это поведение. Звучит странно, что мне придется изменить поток авторизации федеративных удостоверений в зависимости от того, кто мой IdP!