Okta群属性

Question

我有两个服务提供商，我连接到Okta，以管理外部身份。您能想出一种方法来配置Okta来完成以下工作：

1. 将属性与组关联，而不是直接与用户关联。然后，组内的用户将继承这些属性。
2. 将组与应用程序关联，而不是直接将用户与应用程序关联。

我的最终目标是能够利用Okta来管理每个服务提供商的角色存储。我希望来自Okta的SAML断言能够根据服务提供者确定的权限方案映射到单个服务提供者的断言中。

Answer 1

对于1)，不能直接将属性与组关联。但这里可能会有一种周全的方法。

您可以让用户作为组的成员。在定义属性映射的配置文件编辑器中，使用基于组函数的条件来相应地设置属性值。有关我们在产品中支持的表达式语言的更多细节，请参见这里- lang.html。

另一种方法是使用我们的API来设置用户属性--让逻辑在Okta之外实现。

2)通过使用组对象下的“管理应用程序”选项，可以将应用程序与组关联。在此过程中，app分配将与组成员联系在一起，而不是通过直接分配。