Bearer令牌如何在SCIM中工作？

Question

我正在创建一组API端点，这些端点应该与SCIM模式兼容，作为Okta平台的SCIM服务器。

SCIM模式对我来说很清楚，但我在理解授权时遇到了问题。根据SCIM文档，授权类型应该是“授权标记”。

这是我的第一个问题:对我来说，授权令牌应该是我在OAuth 2.0授权中使用的相同的OAuth，但是现在，多亏了这样，我知道这不是真的。JWT和密码授权流的使用只是一种约定，而不是一条规则。

另外，当我试图在Okta平台中创建一个示例SCIM应用程序时，唯一可用的选项是一个静态令牌，而不是我期望使用OAuth 2的对client_id/client_token (附带说明:当使用OAuth应用程序并使用SCIM进行配置时，这是可能的，但只使用SCIM应用程序)。

问题是:现在是什么？SCIM应该与某些特定类型的令牌一起使用吗？它会强制某些类型的Oauth赠款类型吗？哪个？

我知道我可能把所有这些概念弄得一团糟，但是对于SCIM中使用令牌有什么简单的解释吗？

我现在正在使用Okta，但是它应该与任何SCIM客户端兼容。

Answer 1

大多数使用SCIM / Okta的客户只使用静态令牌对SCIM服务器进行身份验证。因此，他们没有使用通过Oauth授权生成的令牌。

我知道Okta的工程师已经做了一些研究，因此Okta Oauth令牌可以用于与Okta的SCIM连接，但大多数Cloud/(SAS)服务今天不支持这一点，因此我预计可能还需要一段时间才能看到Okta (和大多数云国内流离失所者)使用Oauth令牌来连接SCIM连接。

你走在正确的轨道上，事实上你走在曲线的前面。今天，您可能不得不为SCIM使用静态生成的令牌。

Answer 2

您在Okta中创建的用于测试SCIM服务器应用程序的SCIM2.0TestApp只是一个用于测试服务的模板应用程序。因此，在选项卡中，您可以看到一个静态的OAuth标记。

在您成功地完成测试之后，您应该提交这个应用程序，通过填写这个表格.Please来将它集成到OIN中--参考这个指南。

在提交表格中

​

​

您应该填写OAuth端点详细信息。一旦应用集成到OIN中，Okta实际上就会对scim服务器执行OAuth请求，它就是授权代码授予流。