Vad du behöver veta om Okta auktoriseringsservrar

Vad du behöver veta om Okta auktoriseringsservrar

Okta tillhandahåller divserse auktoriseringsservrar för auktorisering för OAuth 2.0 och OpenID Connect (OIDC). Tyvärr är inte alla tillgängliga alternativ synliga via adminpanelen. Huvudskillnaden mellan auktoriseringsservrarna är anpassningsbarheten, särskilt när det gäller scope och claims samt tillgänglighet genom Okta-licenserna.

Andreas är molnarkitekt i Cloudworks och Okta Technical Champion. Han hjälper kunder på deras digitala identitetsresa genom att designa och implementera komplexa IAM-lösningar. Dessa har en hög grad av automatisering för att uppnå hög effekt med minimal användarfriktion.

Org Authorization Server

Alla Okta-instanser levereras med en så kallad Org Authorization Server. Denna är inte särskilt synlig i adminpanelen, men är tillgänglig via dessa enpoints:

Org Authorization ServerOrg Authorization Servers är inte anpassningsbara, men erbjuder fortfarande ett brett utbud av scopes och claims som lämpar sig för de flesta applikationer. Till exempel stöder Org Authorization Servers gruppscopes och -claims, så att program som kräver roll- eller grupptilldelning inte nödvändigtvis behöver en anpassad autoriseringsserver.

Org Authorization Server and supported scopes

I Okta OIDC-appen kan ID-token konfigureras för att endast visa grupper som är relevanta för appen. I följande exempel kommer Okta-grupper som börjar med "OIDCApp_Role_" att presenteras tokenets i gruppclaims.

Org Authorization Server and token configuration

Relevant Okta-dokumentation:
https://developer.okta.com/docs/concepts/auth-servers/#org-authorization-server

Custom Authorization Servers

Instanser med API Access Management-lisensen SKU kommer att se alternativet " Authorization Servers" i Oktas adminpanel under Security → API. Som standard finns det alltid en Default Custom Authorization Server definierad.

Authorization Servers Okta API

Figur 1 - Default Custom Authorization Server - IKKE Org Authorization Server

Default Custom Authorization Server kan användas som referens för andra auktoriseringsservrar eller för att testa utvecklingsapplikationer. att testa olika utvecklingsapplikationer. Den är redan förkonfigurerad med standarscope och claims.
Alla anpassade auktoriseringsservrar kan konfigureras i sin helhet. Det kommer därför inte att vara nödvändigt att ha en individuell auktoriseringsserver för varje applikation, men det kan ändå vara meningsfullt att separera olika konfigurationer användarfall i separata endpoints för auktorisering.

Endpointsen för Default Custom Authorization Server är:

Default Custom Authorization ServerFör eventuella ytterligare  Custom Authorization Server:

Custom Authorization Server

Eftersom Default Custom Authorization Server är en del av API Access Management-licensen, kommer alla användare som tilldelats en applikation som använder denna auktoriseringsserver att räknas mot API Access Management-licenserna. Om du endast behöver API Access Management för en delmängd av dina användare, se till att alla standard OIDC-appar använder Org Authorization Server. Alla dina anpassade auktoriseringstjänster (även standardtjänsterna) bör begränsas till exakt de applikationer de behövs för. Detta är i första hand för att öka säkerheten, men också för att undvika ytterligare licenskostnader, eftersom API-licensen beräknas utifrån antalet användare med potentiell tillgång till en auktoriseringsserver.

Default policy

Vilken auktoriseringsserver som ska användas när?

I huvudsak ger alla auktoriseringsservrar samma möjligheter för OAuth- och OIDC-autentisering. Beslutet om vilken som ska användas i vilken situation kan avgöras genom att svara på följande frågor:

Är Org Authorization Server tillräcklig?
Vanligtvis är den det, och eftersom det valet inte kräver några ytterligare licenser för användarna bör det även vara förstahandsvalet.

Behöver jag ytterligare scope, claim eller andra anpassningar som en specifik målgrupp?
Om så är fallet kommer lösningen vara baserad på custom authorization server. Vidare kan accesstokens från Org Authorization Server inte valideras. Om din app kräver detta, kommer du behöva anpassad auktoriseringsserver.

Behöver jag skapa en extra anpassad auktoriseringsserver?
Det beror på riktlinjerna och kraven i din organisation. Vissa separerar interna och externa system, andra har dedikerade anpassade auktoriseringsservrar för varje applikation.

Det viktiga steget här är att se till att ändringar av en befintlig auktoriseringsserver inte ger avbrott för befintliga applikationer. Antalet auktoriseringsservrar är inte licensierade, så det kan vara vettigt att börja med en dedikerad testauktoriseringsserver först och lägga till konfigurationen till en befintlig auktoriseringsserver när du flyttar till produktion.

Okta har också en översikt över funktionalitet för auktoriseringsservrar.