#SingleSignOn #Saml #OAuth #restful

16 views
Skip to first unread message

Giuseppe Coniglio

unread,
Feb 1, 2023, 7:37:47 AM2/1/23
to JUG Torino - JVM User Group Torino
Ciao,
vi chiedo conferma se è standard la soluzione che ho pensato per permettere agli utenti di diverse applicazioni web, di accedere tramite SSO dalla nostra applicazione che ha la pagina di login con inserimento di username e password, le credenziali non sono detenute da nessuna delle applicazione ma da un Customer Identity Access Management (SAP Customer Data Cloud)
I dati sono passati tramite rest api dalla nostra applicazione web al CIAM  vi chiedo se è fattibile l'architettura che allego, permettere alle applicazioni WEB A-B-C di autenticarsi passando dalla nostra applicazione web ?
Tutte le 3 applicazioni sono federate nello stesso sistema Cliente per permettere il Single Sign on.
E' un'architettura fattibile e standard?
Richiamando l'api rest del CIAM  , chi si occupa poi di reindirizzare l'utente (che ha messo login e password nella nostra applicazione web) verso A/B/C? 
E come si fa dalla response del CIAM a mettere il cookie di sso nel browser?
Autentication_CIAM.jpg

Giuseppe Coniglio

unread,
Feb 3, 2023, 6:30:15 AM2/3/23
to JUG Torino - JVM User Group Torino
Aggiornamento :-)

Il nuovo scenario è il seguente: modalità "embedded", la pagina con il form di login/pwd è nella mia applicazione web e l'IDP mi esporrà degli endpoint rest per autenticare l'utente, gli invieremo quindi login/pwd/saml request e una volta ricevuta la response dall'IDP (che conterrà la saml response) il giro finisce con l'elaborazione della saml response ed in caso di dati validi l'utente è autenticato nella nostra applicazione (sempre con il SSO).
E' valido/standard questo giro?
Grazie infinite
SAML_REST_API.jpg

Giuseppe Coniglio

unread,
Feb 5, 2023, 5:05:52 AM2/5/23
to JUG Torino - JVM User Group Torino
Forse potrebbe essere questo flow la soluzione:

Resource Owner Password Credentials Flow

The resource owner password credentials can be used directly as an authorization grant to obtain an access token. 


Maybe? :-) 


--
Hai ricevuto questo messaggio perché sei iscritto al gruppo "JUG Torino - JVM User Group Torino" di Google Gruppi.
Per annullare l'iscrizione a questo argomento, visita https://groups.google.com/d/topic/jugtorino/EIzn3Z3YiZc/unsubscribe.
Per annullare l'iscrizione a questo gruppo e a tutti i suoi argomenti, invia un'email a jugtorino+...@googlegroups.com.
Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/jugtorino/412b0ce6-483f-4673-bc70-3eb274b14b24n%40googlegroups.com.
Screenshot_20230205_110321_com.facebook.katana_edit_59119858816499.jpg

Domenico Briganti

unread,
Feb 5, 2023, 9:19:27 AM2/5/23
to jugt...@googlegroups.com
Ciao Giuseppe,
 si questo Flow è corretto, ma dipende dalla configurazione del CIAM. Se la gestirei non permetterei facilmente questo flow in quanto l'applicazione che autentica gli utenti verrebbe a conoscenda delle credenziali dell'utente stesso.
In genere l'SSO si usa anche per evitare questo, infatti di soluto viene presentata all'utente la pagina di login fornita direttamente dall'Identity Provider.
Comunque cosi ti fumi il Single Sign On dato che il browser dell'utente non fa un giro sull'IdP che quindi non può lasciare nessun cookie di autenticazione.

Spero di aver capito bene :)

A presto,
Domenico


Il 05/02/23 11:05, Giuseppe Coniglio ha scritto:
Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a jugtorino+...@googlegroups.com.
Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/jugtorino/CAOr_4gsNUEAKucokUZ92_X7SVCiOVWqDHKi%3D4Dg0_uXfgRtrqA%40mail.gmail.com.


Giuseppe Coniglio

unread,
Feb 5, 2023, 9:45:53 AM2/5/23
to Domenico Briganti, jugt...@googlegroups.com
Ciao Domenico, la mia applicazione non detiene le credenziali, username si ma la password no, io invocherei un 'api rest passandogli username e password (anche adesso nella pagina di Adfs, che ha il form con login e pwd, pagina esterna alla mia applicazione facendo un inspect vedo la password che ho messo). 
Prima cosa, è fattibile, e se sì come dici tu appunto : "Single Sign On dato che il browser dell'utente non fa un giro sull'IdP che quindi non può lasciare nessun cookie di autenticazione" come fa ilbmio backe end ad iniettare il single sign on quando torna nella mia pagina dopo aver letto la response dall'idp? 
Grazie :-) 

Giuseppe Coniglio

unread,
Feb 6, 2023, 5:36:33 PM2/6/23
to Domenico Briganti, jugt...@googlegroups.com
No Sso with The resource owner password credentials (ROPC) flow

 

The OAuth 2 resource owner password credentials (ROPC) grant allows an application to sign in the user by directly handling their password. In your desktop application, you can use the username/password flow to acquire a token silently.

 

Constraints for ROPC
The following constraints apply to the applications using the ROPC flow:

Single sign-on is unsupported.

Multi-factor authentication (MFA) is unsupported.

Check with your tenant admin before using this flow - MFA is a commonly used feature.

Conditional Access is unsupported.
Screenshot_20230206_233523_com.microsoft.office.outlook_edit_106669410894139.jpg

Giuseppe Coniglio

unread,
Feb 6, 2023, 6:02:31 PM2/6/23
to Domenico Briganti, jugt...@googlegroups.com
Ciao Domenico, è esatto tutto quello che mi hai spiegato.
Scusa il ritardo
Grazie molte :-) 

Il dom 5 feb 2023, 15:19 Domenico Briganti <dom...@gmail.com> ha scritto:
Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/jugtorino/40c48011-f26b-5da4-a063-3eb35a2163de%40gmail.com.
Reply all
Reply to author
Forward
0 new messages