Как делегировать два фактора для облачного каталога OneLogin?

Question

API Cloud Directory содержит ряд полезных API.Но документация предполагает, что вход в систему должен осуществляться с рукописных страниц входа.Это большая проблема.

Нет ли способа использовать Cloud Directory API с делегированными страницами входа?Можно ли преобразовать токен SAML или OpenID Connect в токен oauth2 (который поддерживает делегированный вход в систему)?

Answer 1

Назначение IdP (или сервера авторизации для OAuth2 / OIDC) - делегировать аутентификацию этой службе, включая проблемы аутентификации.Кодирование пользовательских экранов аутентификации не требуется, если у вас нет очень специфических требований к брендингу, которые не могут быть выполнены Onelogin (или Okta, или Auth0 и т. Д ....)

Передавая стороннему поставщику аутентификации, выудалите возможность для пользовательских экранов аутентификации становиться плохими участниками в отношении сбора учетных данных ваших пользователей.При использовании SAML или OIDC само приложение никогда не видит кредиты пользователей.

Так что, если я неправильно истолковал ваш вопрос, Onelogin сделает именно то, что вы ищете (как и другие IDaaS / IdP).Вам просто нужно активировать предпочитаемый протокол SSO.

Answer 2

Один из способов это сделать:

1. Использовать OpenID для аутентификации пользователей, поскольку он поддерживает делегирование экрана входа в систему
2. Сохранение секретного идентификатора и идентификатора API OneLogin на нашем сервере, что позволяет нам вызывать все API-интерфейсы Cloud Directory без пользовательского access_token

Хотя это может не соответствовать принципу наименьших привилегий (поскольку мы должны предоставить нашему серверу разрешения на чтение всех).