Oktaは自動的にブラウザのレベルでセッションCookieを設定しますか? この後はOKTセッションを呼び出すためのhttp://developer.okta.com/docs/examples/session_cookieガイドです。 1回限りのトークンを確認して、1回限りのトークンを追加して2回目のリクエストのリダイレクトURLを作成することができました。ランディングページにリダイレクトされた後、応答にSet-Cookieヘッダーが表示されません。私は一歩足りませんか?また、私のアプリケーションはSAMLで有効になっています。SAMLアサーションではどのように動作しますか?誰でもサンプルの例や手順に従うことができます。Oktaは自動的にブラウザレベルでセッションクッキーを作成しますか?
はい。ほとんどのシナリオでは、OktaはOktaのセッションクッキーをブラウザに設定します。
たとえば、 "example.okta.com"という名前のOkta組織に対して認証する場合、 "example.okta.com"のCookieがユーザーのブラウザに設定されます。これは、OpenID Connect、アプリケーションの埋め込みリンク、または(の非推奨の)/login/sessionCookieRedirectエンドポイントを使用して認証している場合に発生します。ただし、エンドポイント/sessionsに直接行われたコールは、セッションクッキーを設定しません。
注:セッションクッキーは、これらのシナリオでOktaために設定されているにもかかわらず、そのクッキーがは、サードパーティのアプリケーションにアクセスすることはできません。サードパーティのアプリケーションでOktaログインを安全に検証する最良の方法は、OpenID Connect id_tokenまたはSAMLアサーションを検証した後、OpenID ConnectまたはSAMLを実装して独自のセッションクッキーを設定することです。 Oktaのログインを安全に検証する代替的ではあるが柔軟性の低い方法は、バックエンドにOktaの/sessions APIエンドポイントを呼び出し、/sessionsエンドポイントへのコールが成功したときにセッションCookieを設定することです。
SAMLアサーションの仕組みを尋ねると、より具体的になりますか? – soitof