Salesforce
Developer.RU
Форум
Регистрация  |  Вход

SSO, SAML and OAuth:  как это работает?

стал разбирать тему SSO/SAML and Connected Apps, довольно интересный топик.

понятно, как работает SSO, когда СФ выступает в качестве сервис провайдера (назовем это входящий SSO)

понятно, как работает SSO/SAML в случае с Connected Apps, когда СФ выступает в качестве идентити провайдера (назовем это исходящий SSO): какой то сторонний апп (сервис провайдер), оформленный как Connected Apps (просто линк в виде Иконки на Эпп ланчере или в меню, или как Канвас эпп) и кликнув на него (или открыв страницу в случае с Канвас) пользователь автоматом логится в тот стронний эпп.

понятно как работает сам процесс и как авторизуется пользователь с случае с Connected Apps использующий OAuth (позволяющий установить обмен пользовательскими данными между СФ и сторонним приложением). Ну например так работает Workbench (или мобильные приложения): в начале тебе предлагается авторизовать себя в СФ и тем самим сторонний эпп получает токен (что-то вроде сессии) и начинает работать с пользовательскими данными через АПИ.

не понятно как работает OAuth и исходящий SSO/SAML (обе настройки есть в Connected Apps). Что дает исходящий SSO/SAML в случае с OAuth? самый простой ответ: юзер автоматически авторизуется в сервис провайдере. Но что это дает с плане установления OAuth? Ведь юзеру нужно авторизоваться именно в СФ для инициации обмена данными. Или в случае с OAuth исходящий SAML сразу передают сервис провайдеру токен и юзеру не нужно снова логится в СФ? в таком случае это имеет смысл

Den Brown 
стал разбирать тему SSO/SAML and Connected Apps, довольно интересный топик.

понятно, как работает SSO, когда СФ выступает в качестве сервис провайдера (назовем это входящий SSO)

понятно, как работает SSO/SAML в случае с Connected Apps, когда СФ выступает в качестве идентити провайдера (назовем это исходящий SSO): какой то сторонний апп (сервис провайдер), оформленный как Connected Apps (просто линк в виде Иконки на Эпп ланчере или в меню, или как Канвас эпп) и кликнув на него (или открыв страницу в случае с Канвас) пользователь автоматом логится в тот стронний эпп.

понятно как работает сам процесс и как авторизуется пользователь с случае с  Connected Apps использующий OAuth (позволяющий установить обмен пользовательскими данными между СФ и сторонним приложением). Ну например так работает Workbench (или мобильные приложения): в начале тебе предлагается авторизовать себя в СФ и тем самим сторонний эпп получает токен (что-то вроде сессии) и начинает работать с пользовательскими данными через АПИ.

не понятно как работает OAuth и  исходящий SSO/SAML (обе настройки есть в Connected Apps). Что дает исходящий SSO/SAML в случае с OAuth?  самый простой ответ: юзер автоматически авторизуется в сервис провайдере. Но что это дает с плане установления OAuth? Ведь юзеру нужно авторизоваться именно в СФ для инициации обмена данными. Или в случае с OAuth исходящий SAML сразу передают сервис провайдеру токен и юзеру не нужно снова логится в СФ? в таком случае это имеет смысл

Den Brown
и кликнув на него (или открыв страницу в случае с Канвас) пользователь автоматом логится в тот стронний эпп.

Это зависит от того какой тип авторизации у тебя стоит в коннектод апп есть бесшованя.

Sergey Prishchepa 
[quote="Den Brown"]и кликнув на него (или открыв страницу в случае с Канвас) пользователь автоматом логится в тот стронний эпп.[/quote]
Это зависит от того какой тип авторизации у тебя стоит в коннектод апп есть бесшованя.