SSO:Google 上的授权用户管理与其他 IdP
SSO: Authorized Users Management on Google vs. other IdP
我的目标是在我的 Web 应用程序中实施 SSO 服务提供程序,但我无法理解使用 Google 作为身份提供程序与其他 IdP 的 SSO。
我创建了两个 POC,一个使用 SAML,另一个使用 OpenID Connect。两者似乎都运作良好。
我注意到,对于我测试过的身份提供者(OneLogin、Okta),对于两种 SSO 方法(OIDC、SAML),我需要创建一个应用程序并为该应用程序分配授权用户我的国内流离失所者。当用户尝试登录时,只有当他们是授权用户之一时,他们才会成功。这实质上意味着我不必在我的应用程序中管理邀请和授权用户,因为它已委托给身份提供者上定义的应用程序。
但是,使用 Google 作为 IdP 提供者,SAML 应用程序和 OpenID Connect 没有 'assigned users' 部分,我什至不需要创建用户可以在其中使用的应用程序托管(仅 OAuth 2.0 凭据)。这基本上意味着使用 Google 作为身份提供者我需要在内部管理授权用户,因为 google 授权任何使用 google 登录并同意共享其个人数据的用户。
如果有人能揭开这种行为的神秘面纱,我将不胜感激。我必须根据我的 IdP 是谁来更改联合身份的授权流程,这听起来很奇怪!
嗯,OIDC提供的东西就是用户认证。 Google 实现只提供了这一点,没有别的,而其他一些 IdP 也提供了其他功能。我想说 Google 行为对于开放云提供商来说更典型(Facebook,尽管他们有自己的基于 OAuth2 的协议,但行为相似),而其他行为更常用于企业内部。
然而,Google 确实提供了一个名为 hd 的 claim(对于托管域),可用于阻止属于其他域的用户(如果这是您想要的 - 在我认为是企业设置)。
我的目标是在我的 Web 应用程序中实施 SSO 服务提供程序,但我无法理解使用 Google 作为身份提供程序与其他 IdP 的 SSO。
我创建了两个 POC,一个使用 SAML,另一个使用 OpenID Connect。两者似乎都运作良好。
我注意到,对于我测试过的身份提供者(OneLogin、Okta),对于两种 SSO 方法(OIDC、SAML),我需要创建一个应用程序并为该应用程序分配授权用户我的国内流离失所者。当用户尝试登录时,只有当他们是授权用户之一时,他们才会成功。这实质上意味着我不必在我的应用程序中管理邀请和授权用户,因为它已委托给身份提供者上定义的应用程序。
但是,使用 Google 作为 IdP 提供者,SAML 应用程序和 OpenID Connect 没有 'assigned users' 部分,我什至不需要创建用户可以在其中使用的应用程序托管(仅 OAuth 2.0 凭据)。这基本上意味着使用 Google 作为身份提供者我需要在内部管理授权用户,因为 google 授权任何使用 google 登录并同意共享其个人数据的用户。
如果有人能揭开这种行为的神秘面纱,我将不胜感激。我必须根据我的 IdP 是谁来更改联合身份的授权流程,这听起来很奇怪!
嗯,OIDC提供的东西就是用户认证。 Google 实现只提供了这一点,没有别的,而其他一些 IdP 也提供了其他功能。我想说 Google 行为对于开放云提供商来说更典型(Facebook,尽管他们有自己的基于 OAuth2 的协议,但行为相似),而其他行为更常用于企业内部。
然而,Google 确实提供了一个名为 hd 的 claim(对于托管域),可用于阻止属于其他域的用户(如果这是您想要的 - 在我认为是企业设置)。