Аутентификация против нескольких арендаторов Okta

Question

У меня есть приложение Angular CLI и серверная часть ASP.NET Web API.Я защищен как от частной аренды Okta (группы пользователей) с помощью OpenId Connect.

Теперь мне нужно расширить приложение, чтобы оно также аутентифицировалось на основе аренды компании.Арендная плата компании ограничена доменом, поэтому все ее пользователи - это «somebody@mycompany.com» и т. Д. В то время как частная аренда может иметь пользователей с любым доменом под своим именем.

Кто-нибудь знает, есть ли у Oktaпродукт, в котором я могу аутентифицироваться по нескольким источникам, как если бы это был один источник?Или есть другой рекомендуемый способ?Извините за открытый / широкий вопрос, но у меня нет ресурсов.

Answer 1

В Okta еще нет программ, которые бы распознавали для вас ВПЛ.Там может быть что-то происходит.Тем не менее, есть способ достичь этого.

1. Добавьте любой IDP к Okta .Это даст вам и IDP Id.Когда пользователь вводит свои учетные данные.Выясните, какой IDP они используют, и добавьте этот идентификатор при запросе токена

2. Узнайте у пользователя его учетные данные И IDP и сопоставьте его с соответствующим вызовом для получения токена.

Чтобы получить токен от Okta, это вызов: {{url}}/oauth2/v1/authorize?client_id={{client_id}}&response_type=id_token&scope=openid groups email profile&redirect_uri={{redirect_url}}&state=state&nonce=nonce

Если мне нужно использовать IDP, мне просто нужно добавить IDP:

{{url}}/oauth2/v1/authorize?client_id={{client_id}}&idp={{idp_id}}&response_type=id_token&scope=openid groups email profile&redirect_uri={{redirect_url}}&state=state&nonce=nonce