问题标签 [okta-api]

我们的应用程序有两个部分。

• 用 Java 8 编写的后端，使用 Jersey 2.0 公开不同的 REST 端点。
• UI 是使用 React 和其他节点模块构建的单页应用程序。

Web 界面使用 Okta 支持的 SAML 2.0 身份验证作为身份提供者。后端创建 HTTP 会话并在 cookie 中发送 JSESSIONID。

现在 UI 调用 REST 端点来显示数据。我们需要在我们的 REST API 中添加一个身份验证层，我已经在这里提出了一个单独的问题Authenticating rest endpoints and the UI using Okta。

我的问题特别是我可以从 UI 传递什么作为向这些 API 调用进行身份验证的一种方式，因为 UI 确实经过身份验证并且 HTTP 会话仍然有效。因此，我不需要创建单独的 OAuth 2.0 令牌将其传递给 UI，以便 UI 可以将其传递回后端。OAuth 2.0 流程对于使用我们的 REST 端点的外部客户端是有意义的。

更新 1

这是我的 securityContext.xml 的摘录，它定义了两种身份验证方案：

我不确定如何执行 SecurityContextPersistenceFilter。我应该为我的/rest/**模式覆盖并添加其中一个过滤器吗？

更新 2

这是调用后端的 JS 代码（React）：

现在 JS 代码可以选择发送与该域关联的所有 cookie，这样后端就可以获取 JSESSION ID cookie，但是，JS 不这样做，我认为它不是正确的做法。

另一方面，如果我https://mydomain/rest/v1/projects在浏览器中执行并且只要我登录，我就会得到结果，因为这一次当我的过滤器检查有效的 HTTP 会话时，它可以从请求中获取会话request.getSession(false)，尽管那不是当 JS 调用 API 时为 true。它变成了一个完全不同的用户代理。

更新 3

根据@Vladimír Schäfer 的建议，我可以稍微更改上面的 JS 代码以发送 cookie.withCredentials()并通过后端进行身份验证，而无需做任何特别的事情

我目前正在构建一个使用 Okta 进行身份验证的应用程序，并且我想构建一个允许用户在登录后更改密码的功能。不幸的是，我似乎找不到可以提供服务的端点这个目的。主要更改密码 API，api/v1/authn/credentials/change_password 仅适用于当前处于 PASSWORD_WARN 和 PASSWORD_EXPIRED 状态的用户。用户登录后，是否有任何方法可以使用此端点或其他类似端点？

我将尽量使问题尽可能清晰和直接。

1. 使用 Okta 配置的社交身份验证 (Facebook)，将重定向 URI 作为我的自定义 web 应用程序的 URL。此自定义 web 应用程序依赖 Okta 进行身份验证。
2. 用户访问我的自定义 web 应用程序（未经身份验证）并单击社交身份验证 URL 以登录到我的自定义 web 应用程序。
3. 用户遵循正常流程，由 facebook 和 Okta 进行身份验证（按照通常的流程），然后由 Okta 重定向回自定义 web 应用程序。
4. 整个流程是成功的，用户可以在他们的浏览器中看到一个 Okta 会话 cookie。
5. 自定义 webapp 现在需要通过调用 Okta API 向用户显示他们自己的个人资料。

问题：我的自定义 web 应用程序如何识别刚刚登录的用户，以便他们可以使用 API 获取他们的 Okta 个人资料？

我知道由于 Facebook 向 OAuth 客户端 (Okta) 发送的声明，Okta 知道谁刚刚登录，但是我的应用程序如何知道登录用户的身份？

谢谢，

贾廷

我在 OKTA 的开发人员帐户中工作。

我正在尝试获取一个非常简单的 SPA 应用程序以从 OKTA 获取 JWT。

1. 我使用authClient.signIn({})登录并返回 transaction.sessionToken/

2. 使用该会话令牌，我应该能够调用authClient.token.getWithoutPrompt({})但我永远无法访问该代码。

我收到以下错误：OAuthError：redirect_uri 参数的值非法。

我该如何克服这个 OAuth 错误，以便我最终可以取回 JWT。我已经尝试过 OKTA GIT 上的示例，但无法正常工作。

我使用 Okta 作为我的身份验证提供程序，但是最近我大部分时间都收到上述异常消息，尽管并非总是如此。

我看了看c# wrapper，但我仍然无法弄清楚为什么结果看起来如此不可靠。

有谁知道这是什么原因造成的？

我对 OKTA 很陌生。目前，我从事一项特定要求，即我们的本地 SharePoint 2013 应用程序与 OKTA 集成。在尝试登录 SharePoint 时，会出现 OKTA 登录屏幕，该屏幕接受Ad UserName@Fully Qualified Domain Name进行登录。但最近由于要求更改，企业需要将 Active Directory 员工 ID 用作用户名。我无法从 Okta 中找到任何可以对需求提供一些见解的资源。这是需要完成的配置更改，还是可以通过将员工 ID 插入身份验证通道的 API 来实现。请帮忙。我非常卡住。

提前致谢。

我们的要求之一是为 Okta 用户提供一个应用程序，以便他可以单击应用程序框并重定向到带有一些查询字符串参数的 url，不需要登录，这可以使用 Okta 吗？

我需要在 MVC 应用程序中使用 OKTA 实现“单点登录”。我在 Okta 上创建了一个帐户并创建了一个应用程序。

我可以从 OKTA 获取详细信息，例如身份提供者单点登录 URL、身份提供者颁发者和 X.509 证书。

但我无法将其配置到 MVC 站点。

有谁知道如何在 MVC 应用程序中使用 OKTA 配置“单点登录”？

有没有办法通过 Postman 列出分配给应用程序的用户名。我不是在寻找 Okta 用户名，而是在寻找传递给 SP 的用户名。如果是，是否有办法将响应限制为仅针对该值，而不是列出用户时返回的所有值？

We've done a poor job of removing deactivated users from Okta groups. I would like to clean that up but there is now way to do so via the UI. I tried this in Postman but receive an error that the HTTP method is not supported by the endpoint.

I also tried:

and

Does anyone have any suggestions?