用Okta认证金库

Question

我们已经设置了一个Vault集群，并且我们正在尝试使用Okta验证Vault。启用了auth并配置了它：

vault auth enable okta
vault write auth/okta/config base_url="BASE_URL" organization="ORG" token="TOKEN"

每当我试图在Vault UI中针对Okta进行身份验证时，我都会得到以下错误：

身份验证失败: HTTP方法: POST - URL：https://org.okta.com/api/v1/authn：- HTTP状态代码: 401，Okta错误代码: E0000004，OKTA错误摘要:身份验证失败，OKTA错误原因：[]

问题是我们正在使用谷歌作为IdP。登录请求被发送到Google。在Okta，我们将Google配置为IDP。

如果我将用户的凭据保存在Okta本身中，那么它就能工作。那么，当IDP是Google时，是否有一种通过Okta认证的方法？

Answer 1

你在Vault内使用Okta auth方法。这将只在Okta的AuthN端点上发布您的凭据，以验证它们并根据响应授予访问权限。

将谷歌作为用户在Okta内的IDP，您将需要在Vault和在Okta配置Vault中设置在Okta配置Vault。当用户进行身份验证时，他们的浏览器将重定向到Okta以完成登录--在该登录中，如果他们还没有会话，将重定向到Google进行身份验证。

Answer 2

我对Vault并不熟悉，但在我看来，Vault做的是一个简单的AuthN身份验证，基本上只是针对Okta检查用户名/密码。

因此，不幸的是，从我所看到的你提供的社会认证到Okta，然后登录到Vault可能不支持Vault。

现在，如果您在Okta中创建了一个本地帐户，并且身份验证工作正常，那么我们可以确认Vault没有正确地支持Federation (单点登录) :(

不幸的是，Vault将需要支持联邦允许您通过Google登录，然后登录到Vault。