如果我的問題不完全有意義,請原諒我,因為我是 AWS 和云世界的新手。我們的組織目前使用 Okta 作為某些用戶的身份存盤,我們還有另一組用戶使用我們內部開發的符合 OIDC/OAuth 的 IDP 進行身份驗證。Okta 可以根據電子郵件域來區分用戶。
今天,我們的 Web 應用程式使用 OIDC 授權代碼流和 Okta 進行身份驗證,并且 okta 內部知道將呼叫聯合到適當的外部 IDP 進行身份驗證。這一切都很好。
現在我們計劃在 AWS 的云上托管我們的 Web 應用程式和 REST API 之一,我們想知道如何利用我們當前在 AWS 中的 okta 設定來實作這一切。請注意,我們不希望我們的用戶體驗從今天開始改變,因為他們的登陸登錄頁面是 okta。此外,請注意,我們希望我們的用戶自動預置以基于此身份驗證訪問我們在 AWS 中的服務。這意味著我們不會使用 IAM 在 AWS 中顯式創建用戶,而是他們應該根據身份驗證自動訪問我們的 UI 和 API。
任何人都可以幫忙嗎?
謝謝
uj5u.com熱心網友回復:
Okta 可以輕松地與 AWS 上的服務進行互動。關鍵是能夠將 Okta 生成的 JWT 傳遞給您的服務代碼,這樣您就可以對其進行驗證并知道誰在登錄。目前尚不清楚您的環境究竟是什么樣的,但我這樣做的方式是“懶惰的”創建”。我將我的用戶存盤在我的 AWS RDS 中,但按需創建它們。因此,當用戶進來時,我會驗證令牌并從令牌中獲取“子”(主題)。這成為我的資料庫中的一個鍵,用于指示用戶是誰。Okta 已將此值分配給每個用戶。
當用戶令牌進入時,我會根據主題檢查我是否已經擁有該用戶。如果是這樣就好了。如果它們是新的,那么我將使用令牌中的資料和/或/userinfoOkta 的端點在資料庫中創建它們。
uj5u.com熱心網友回復:
我認為我沒有完全理解您對 AWS 的要求。最簡單的方法是將 AWS 僅用作您的應用程式的托管平臺,同時讓您的用戶通過 Okta 進行身份驗證。最簡單的場景,如果用戶不對您的 AWS 做任何事情(管理或使用受 AWS 策略保護的物件)。
如果您需要后者,那么您需要創建一個與 Okta 集成的 Cognito 池。然后 AWS 內部的所有訪問都將基于 Cognito 池權限。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/467192.html
上一篇:在Yii2中記錄會話銷毀
下一篇:為什么我的使用AWSAmplify的ReactAuthentication組件在使用ReactRouterV6保護路由時被無限渲染
