我正在创建一组API端点,这些端点应该与SCIM模式兼容,以用作Okta platform的SCIM服务器。
SCIM架构对我来说很清楚,但是我在理解授权方面有问题。根据SCIM文档,授权类型应该是"授权承载令牌"。
这是我的第一个问题:对我来说,授权令牌应该与OAuth 2.0授权使用的JWT相同,但现在,thanks to SO,我知道这不是真的。JWT和密码授予流的使用只是一个约定,而不是规则。
此外,当我尝试在Okta平台中创建示例SCIM app时,唯一可用的选项是静态令牌,而不是我期望使用OAuth 2的client_id/client_token对(* 旁注:* 当使用SAML应用程序并使用SCIM进行配置时,这是可能的,但不适用于仅使用SCIM的应用程序)。
问题是:现在怎么办?SCIM应该和某种特定类型的令牌一起使用吗?它强制使用Oauth grant type吗?哪一种?
我知道我可能把所有这些概念弄得一团糟,但是对于SCIM中令牌的使用有什么简单的解释吗?
OBS:我现在使用的是Okta,但它应该符合任何SCIM客户端。
2条答案
按热度按时间vyswwuz21#
您在Okta组织中创建的用于测试SCIM服务器应用程序的SCIM 2.0测试应用程序只是用于测试服务的模板应用程序。因此,在“API集成”选项卡中,您会看到静态OAuth承载令牌。
成功完成测试后,您应填写此form,提交此应用程序以将其集成到OIN。请参阅此guide。
在下面的提交表格中
您应该填写OAuth端点详细信息。一旦应用程序集成到OIN中,Okta实际上会向SCIM服务器发出OAuth请求,这是授权代码授予流程。
ccgok5k52#
大多数使用SCIM w/ Okta的客户仅使用静态令牌对SCIM服务器进行身份验证。因此,他们没有使用通过Oauth授权生成的令牌。
我知道Okta的工程师已经做了一些研究,所以Okta Oauth令牌可以用于与Okta的SCIM连接,但目前大多数云/(SAS)服务不支持这一点,所以我预计可能需要一段时间才能看到Okta(和大多数云IDP)使用Oauth令牌进行SCIM连接。
你走在了正确的道路上,事实上你已经走在了前面。今天你可能不得不为SCIM使用一个静态生成的令牌。