SAMLとID

Question

お客様はOktaを使用しており、Oktaのidnetitiesを使用してアクセスできるように、私たちのアプリをSAML対応にするよう依頼しています。

OpenSAMLを使用する予定です。ここまでは順調ですね。

通常、Googleのアプリでは、オンデマンドLDAPやADなどのID（ユーザー、グループ、メンバーのリスト）にアクセスできます。私たちは通常、これらのアイデンティティを使用して、アプリケーションで権限を設定します（特定のユーザーに特定のリソースにアクセスする権限を与える）。 SAMLのみを使用して、ユーザー/グループの全リストにアクセスする方法はわかりません。そして私が理解していることから、それを提供することはSAMLの目標ではありません。

この状況はどのように解決されますか？ Oktaと私たちのアプリの間のアイデンティティを同期させるべきですか？それはプロビジョニングと呼ばれるものですか？ Okta API、SCIM、JITなどがありますか？まったく違うアプローチをとるべきでしょうか？

ありがとうございました！

Answer 1

SAMLで承認を処理する典型的な方法は、SAMLアサーションを使用してユーザーに付与する権限を判断することです。どのアサーションが使用され、どのようなアサーションがあなたの認可モデルに依存するか。

アサーションを使用すると、SAML IDプロバイダの管理者に権限を決定する責任が負うことになります。にアクセスして、誰が何にアクセスできるかを決定します。

"エンタープライズフェデレーション"をサポートする理想的な状況は、SSOとプロビジョニングをサポートすることです。 SSOの場合はSAMLまたはOIDC、プロビジョニングの場合はSCIM。

ソフトウェアが最新のユーザーリストに依存していない場合は、「JIT」を使用してSAMLだけをサポートすれば十分です。 「JIT」または「Just In Time」プロビジョニングを使用するSAMLは、以前見たことのないユーザーをSAMLサービスプロバイダの実装で追加することを意味します。