Как сделать мультитенантность Okta?

Например, у меня есть многопользовательская настройка для нашего приложения:

1.t1.xyz.com 2.t2.xyz.com

Я хочу, чтобы оба общались с okta для разных настроек IDP для обоих арендаторов. Например, t1.xyz.com должен общаться с shibboleth, а t2.xyz.com должен использовать идентификатор ping, или другой арендатор может использовать okta в качестве IDP.

Другие решения, которые я видел, используют разные учетные записи для каждого арендатора, что невозможно. Можем ли мы сделать это с помощью приложений okta для diff tenant. Или, если у кого-то есть другое решение, пожалуйста, ответьте.


multi-tenant okta
person Apurva Gupta    schedule 30.11.2016    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Мы должны идентифицировать арендатора по URL-адресу. Исходя из этого, в приложении у вас может быть редирект на соответствующий IDP [Shibboleth или PingIdentity и т.д.].

Однако этот подход прекрасно работает, если все IDP используют общий протокол, такой как OAuth2. Я сделал одну реализацию с OAuth2. Я написал общее промежуточное ПО oauth, которое может позаботиться об обработке любых провайдеров OAuth2.

Однако, если ваша идея состоит в том, чтобы использовать Okta в качестве IDP, который внутренне обрабатывает различные IDP, вам придется инициировать запрос на вход с использованием группы [код арендатора / идентификатор], чтобы он мог найти поставщика удостоверений и перенаправить его соответствующим образом.

person Saravanan    schedule 30.11.2016
comment
Могут ли разные группы в okta общаться с разными внутренне перемещенными лицами в одном и том же экземпляре okta? - person Apurva Gupta; 01.12.2016
comment
Я не уверен в этом, не могли бы вы проконсультироваться с октой - person Saravanan; 01.12.2016