Existe-t-il un jeton de session du service Okta SAML IDP qui peut être réutilisé pour se connecter depuis une application différente?

Question

Dans notre cas, nous avons deux applications Web complètement différentes fonctionnant sur deux domaines différents et la plate-forme say app X (qui sert également de SAML Service Provider) et l'application Y. Dans la page de connexion de l'application X, l'utilisateur peut choisir Okta comme fournisseur de services SAML SSO, qui à son tour le redirigera vers Okta pour l'authentification des informations d'identification. Ensuite, l'application X recevra la réponse SAML pour vérifier l'assertion et laisser l'utilisateur se connecter à l'application X.

Maintenant dans l'application X, l'utilisateur déjà connecté peut cliquer sur un autre lien vers l'application Y. Le clic déclenche un HTTP GET requête à l'application Y avec un paramètre HTTP qui contient un jeton (le jeton était supposé être reçu de Okta avec soit l'assertion SAML reçue par l'application X OU l'application X peut faire une demande à Okta pour obtenir un jeton spécial après recevoir l'assertion SAML via une autre API exposée par Okta). Maintenant, l'application Y devrait utiliser ce jeton pour vérifier avec Okta via un service API Okta personnalisé ou tout autre mécanisme fourni par SAML (que je ne suis pas positif).

Est-ce faisable ?, Si oui, quelqu'un s'il vous plaît me guider dans la bonne direction.

Answer 1

Il semble que ce que vous voulez faire ici soit de "fédérer" deux services différents via Okta. App X et App Y

Vous souhaitez pouvoir vous connecter à l'application X via Okta, puis à partir de l'application X, cliquez sur un lien vers l'application Y et connectez-vous automatiquement.

Si j'ai bien compris votre question, la réponse ici est que vous pouvez le faire avec Okta. Mais pas de la façon dont tu penses. La manière la plus simple de le faire serait de permettre à SAML d'activer App X et App Y, puis d'utiliser le lien "embed" Okta pour App Y comme un lien dans App X (éventuellement en utilisant le paramètre RelayState pour indiquer App X où l'utilisateur veut atterrir)

Cependant, cette réponse devient plus compliquée en fonction de la façon dont l'application Y est implémentée. Si cette application n'est pas facilement compatible avec SAML, vous devez utiliser OpenID Connect pour ajouter des fonctionnalités de connexion unique à cette application, puis utiliser une méthode similaire à celle décrite ci-dessus pour établir un lien entre les applications. En conclusion, c'est possible, mais la méthode recommandée ici est d'avoir App X et App Y connectés à Okta et d'utiliser Okta pour "fédérer" les applications pour vous.