Cloud Directory API包含许多有用的API。但documentation建议登录应该用手写的登录页面来处理。这是一个很大的麻烦。
是否无法将Cloud Directory API与委派的登录页面一起使用?是否可以将SAML令牌或OpenID Connect令牌转换为oauth2令牌(两者都支持委派登录)?
解决这个问题的一种方法是:
虽然这可能不满足最小特权的原则(因为我们必须给我们的服务器readall权限)。
IdP(或OAuth2 / OIDC的授权服务器)的目的是将身份验证委派给该服务,包括身份验证挑战。除非您有Onelogin(或Okta或Auth0等等)无法满足的非常具体的品牌要求,否则不应要求编码自定义验证屏幕。
通过委派给第三方身份验证提供程序,您可以删除自定义身份验证屏幕成为捕获用户凭据的不良角色的功能。当利用SAML或OIDC时,应用程序本身永远不会看到用户的信誉。
因此,除非我误解了您的问题,否则Onelogin会完全满足您的需求(与其他IDaaS / IdP一样)。您只需触发首选的SSO协议即可。