SSO и существующие интеграции OAuth

Добрый вечер,

Моя группа развертывает SSO - yay. У нас есть несколько приложений, которые непосредственно аутентифицируются с помощью Box.com, и все обновления токенов обрабатываются автоматически. После перехода на SSO мы не включили эти службы (приложения) в наш AD, поэтому у них нет доступа через шлюз SSO.

Мое (возможно неверное) понимание того, как работает OAuth с провайдером единого входа в цикле:

Мы все еще можем начать рукопожатие OAuth напрямую с помощью окна, но поле отправит этот запрос поставщику единого входа. Затем поставщик SSO будет аутентифицировать учетные данные и передать "все хорошие" в поле, в котором будет выдан auth_token.

Это основано на следующем:

"Если вы аутентифицируете свое приложение через Boxs OAuth 2.0, ваше приложение автоматически позволит подписчику клиента с учетными данными своей компании, как и в случае с любым другим приложением Box. Это также относится к популярным коммерческим сервисам, таким как Okta, One Login и Пинг."

https://docs.box.com/docs/oauth-20

Как и эта фотография: enter image description here

Итак, если учетные записи служб внешних приложений с полем не находятся в AD единого входа (слишком много аббревиатур), они не должны иметь возможность аутентифицироваться правильно?

Но эти приложения продолжают проверять подлинность. Они могут обновить свой токен и продолжить доступ к нему, даже после перехода на SSO.

Где ошибка в моем понимании? Будут ли эти приложения добавлены в AD, или это произойдет из SSO, не повлияет на какие-либо из наших внешних зависимостей?

Благодарю!

0
источник поделиться
1 ответ

Получил ответ из окна:

сторонние приложения и интеграция используют постоянную модель маркеров аутентификации. Это означает, что, если пользователь не намеренно выводит их из приложения, или администратор инактивирует или удаляет свою учетную запись, этот пользователь никогда не будет повторно аутентифицироваться после первоначального входа. Вместо этого приложение/интеграция обновит свои жетоны. Обновление токенов не требует перехода через поток входа в систему единого входа, а генерация начального набора токенов.

Изменения состояния SSO, будь то между SSO Off, Enabled и Required или между двумя различными соединениями, не влияют на существующие сеансы аутентификации. Пользователи не будут принудительно выходить из системы при включении SSO.

При следующей попытке входа в систему будет задействован новый поток SSO. В этом случае эти пользователи уже прошли аутентификацию в процессе интеграции до развертывания SSO. Изменение SSO повлияло бы на поведение, так как эти пользователи должны пройти аутентификацию через SSO в будущем; однако, из-за постоянной модели проверки подлинности, что "следующий вход в систему" никогда не происходит, и эти пользователи могут продолжать обновлять токены и сохранять доступ, даже если их не оспаривают для повторной аутентификации в IdP.

0
источник

Посмотрите другие вопросы по меткам или Задайте вопрос