Erstellt Okta automatisch einen Session-Cookie auf Browser-Ebene?

Question

Wird Okta automatisch einen Sitzungscookie auf Browserebene setzen? Folgen Sie diesem http://developer.okta.com/docs/examples/session_cookie Leitfaden für den Aufruf einer OKTA-Sitzung. Ich kann das Einmal-Token sehen und die Weiterleitungs-URL für die zweite Anfrage bilden, indem ich das Einmal-Token hinzufüge und in der Antwort keinen Set-Cookie Header sehe, nachdem ich zur Zielseite weitergeleitet wurde. Vermisse ich einen Schritt? Auch meine Anwendung wurde mit SAML aktiviert, wie funktioniert es für SAML-Assertions? Kann jemand mit Beispielbeispielen oder Schritten folgen, um zu folgen.

Answer 1

Ja. In den meisten Szenarien wird Okta einen Sitzungscookie für Okta im Browser festlegen.

Wenn Sie sich beispielsweise bei einer Okta-Organisation namens "example.okta.com" authentifizieren, wird im Browser des Benutzers ein Cookie für "example.okta.com" festgelegt. Dies passiert, wenn Sie sich mit OpenID Connect, einem Link zum Einbetten einer Anwendung oder dem (veralteten) /login/sessionCookieRedirect Endpunkt authentifizieren. Anrufe, die direkt an den Endpunkt /sessions getätigt werden, legen jedoch kein Sitzungscookie fest.

Hinweis: Auch wenn eine Session-Cookie für Okta in diesen Szenarien festgelegt ist, wird das Cookie nicht auf eine 3rd-Party-Anwendung zugänglich sein. Die beste Möglichkeit, eine Okta-Anmeldung in einer Drittanbieteranwendung sicher zu validieren, ist die Implementierung von OpenID Connect oder SAML und das Einrichten eines eigenen Sitzungscookies nach der Validierung der OpenID Connect-id_token- oder SAML-Assertion. Eine andere, aber weniger flexible Möglichkeit, Okta-Logins sicher zu validieren, besteht darin, dass Ihr Back-End den API-Endpunkt /sessions von Okta aufruft und anschließend einen Sitzungscookie für einen erfolgreichen Anruf an den Endpunkt /sessions setzt.