Single sign on Okta SAML IDP服务是否有任何会话令牌可用于从不同应用程序登录

在我们的例子中，我们有两个完全不同的web应用程序运行在两个不同的域和平台上，比如app X，它还充当SAML服务提供商和app Y。在app X的登录页面中，用户可以选择Okta作为SAML SSO服务提供商，inturn将他重定向到Okta进行凭据验证。然后appx将接收SAML响应以验证断言，并让用户登录到appx

现在在应用程序X中，已登录的用户可以单击指向应用程序Y的另一个链接。单击会触发对应用程序Y的HTTP GET请求，以及包含令牌的HTTP参数。令牌应与应用程序X接收的SAML断言一起从Okta接收，或者应用程序X可以在收到令牌后向Okta发出任何请求以获取特殊令牌通过Okta公开的其他API进行SAML断言。现在，应用程序Y应该使用该令牌，通过一些定制的Okta API服务或SAML提供的任何其他机制，向Okta验证我不是肯定的

---

这可行吗？如果可行，请有人指导我正确的方向。

听起来你想在这里做的是通过Okta联合两个不同的服务。应用程序X和应用程序Y

您希望能够通过Okta登录到App X，然后从App X单击指向App Y的链接并自动登录

如果我正确理解了你的问题，这里的答案是你可以用Okta来做这件事。但不是你想的那样

最简单的方法是SAML同时启用应用程序X和应用程序Y，然后使用应用程序Y的Okta嵌入链接作为应用程序X中的链接，可能使用RelayState参数告诉应用程序X用户希望在哪里登陆

然而，这个答案会变得更加复杂，这取决于应用程序Y的实现方式。如果该应用程序不容易启用SAML，那么您需要研究使用OpenID Connect向该应用程序添加单点登录功能，然后使用类似于我上面描述的方法在应用程序之间链接

---

最后，这是可能的，但推荐使用的方法是将应用程序X和应用程序Y连接到Okta，并使用Okta为您联合应用程序。

谢谢。我将使用启用SAML到应用程序Y的解决方案。