我想使用OneLogin编写一个命令行程序,该程序需要一个用户名/密码并生成可用于向其他网站进行身份验证的SAML断言。我可以使用OneLogin API在独立应用程序中生成SAML声明吗?
问题是调用“生成SAML声明”API本身需要从API凭证生成访问令牌。因此,将我的应用分发给用户需要我在API凭证中烘烤才能进行此调用。这样可以,但唯一允许调用者发布到SAML资源的授权配置文件是“全部管理”,这是比安全提供的更多权限。
有没有人做过这样的事情?
OneLogin people,你能添加一个API凭证类型来只调用SAML Assertion API吗?或者你可以打开API。 (请注意,AWS的“AssumeRoleWithSAML”API不需要用户凭证 - API的全部要点是您拥有要转换为其他凭证类型的凭证。)
是的,我认为这是有效的。 – Kevin
我不确定我是否理解为什么如果用户向SAML API提供有效凭证和应用程序ID时需要OneLogin API密钥。一种用例是使用上述STS AssumeRoleWithSAML API调用为AWS API生成联合临时凭证。我希望我的用户能够联合使用已配置的角色,获取临时访问密钥,并将其用于AWS CLI或其他API调用。 – bobmagoo