所以我的任务是为客户的 Oracle Hyperion 应用程序启用 SSO。我要采用的方法是基于自定义标头变量的 SSO。
PingFederate 目前作为许多应用程序的 SSO 身份验证服务器存在,计划使用它作为目标应用程序的 SP,同时它 (Pingfed SP) 从Okta IDP。
正如您可能已经猜到的那样,我对该过程相对较新,并且正在寻找有关如何配置的说明:
SP 从 Pingfed 发起 SSO,并从 Okta Idp 连接中检索用户属性。
如何将来自 Okta 发送到 Pingfed SP 的 SAML 断言的属性映射到 opentoken 到我的目标应用程序。
提前致谢
【问题讨论】:
标签: single-sign-on okta pingfederate hyperion
对于您的第一个问题 - 如何从 Pingfed 配置 SP 发起的 SSO,并从 Okta Idp 连接中检索用户属性。 如果您使用的是自定义适配器 OpenToken,您可以从 PingFederate 下载端下载,refer here。此自定义适配器是在应用程序和 PingFederate 服务器之间传输用户属性的 Opentoken 适配器。在 SP 端,OpenToken Adapter 可用于将用户身份信息传输到目标 SP 应用程序。在 IDP 端,OpenToken 适配器允许 PingFederate 服务器从 IDP 应用程序接收用户身份。
这是 PingFederate 关于 OpenToken Adapter 的说明。 注意:要集成应用程序以与 OpenToken 适配器一起使用,请从 Ping Identity 下载网站下载 PingFederate 集成工具包,并按照随附文档中的安装和使用代理工具包的说明进行操作。按照本主题中的配置说明设置 OpenToken 适配器以与您的应用程序一起使用。
对于您的第二个问题 - 我如何将来自 Okta 发送到 Pingfed SP 的 SAML 断言中的属性映射到我的目标应用程序的 opentoken 中。
对于 SAML 连接,IdP 应用程序可以通过在安全令牌中包含具有所需值的 authnContext 属性来向服务提供商 (SP) 提供身份验证上下文。 OpenToken 文档将为您提供有关 authnContext 的更多信息。
这是 Authncontext 的定义 - 身份验证上下文被定义为除了身份验证断言本身之外的信息,依赖方在就身份验证断言做出权利决定之前可能需要这些信息。这样的上下文可以包括但不限于所使用的实际认证方法。 Here is configuring Authn Context 在 PingFederate 中。
【讨论】: