Single sign on 使用Pingfederate作为SP，Okta作为IDP

因此，我的任务是为客户端的Oracle Hyperion应用程序启用SSO。我将使用的方法是基于自定义头变量的SSO

PingFederate目前作为许多应用程序的SSO身份验证服务器存在，计划使用它作为目标应用程序的SP，同时它（Pingfed SP）从Okta IDP检索属性/验证用户

正如您可能猜到的那样，我对该流程相对较新，我希望了解如何配置：

SP从Pingfed启动SSO，并从Okta Idp连接检索用户属性

如何将从Okta发送到Pingfed SP的SAML断言中的属性映射到opentoken到目标应用程序

---

提前感谢您的第一个问题-如何从Pingfed配置SP启动的SSO，以及如何从Okta Idp连接检索用户属性。 如果您使用的是自定义适配器OpenToken，则可以从PingFederate下载端下载。此自定义适配器是Opentoken适配器，用于在应用程序和PingFederate服务器之间传输用户属性。在SP端，OpenToken适配器可用于将用户身份信息传输到目标SP应用程序。在IDP端，OpenToken适配器允许PingFederate服务器从IDP应用程序接收用户身份

下面是PingFederate关于OpenToken适配器的说明。 注意：要将应用程序与OpenToken适配器集成使用，请从Ping Identity下载网站下载PingFederate的集成工具包，并按照随附文档中有关安装和使用代理工具包的说明进行操作。按照本主题中的配置说明设置OpenToken适配器以与应用程序一起使用

关于第二个问题，我如何将从Okta发送到Pingfed SP的SAML断言的属性映射到opentoken到目标应用程序。 对于SAML连接，IdP应用程序可以通过在安全令牌中包含具有所需值的authnContext属性，向服务提供商（SP）提供身份验证上下文。OpenToken文档将为您提供有关authnContext的更多信息。

---

以下是Authncontext的定义—身份验证上下文是指除身份验证断言本身之外，依赖方在就身份验证断言做出权利决定之前可能需要的信息。此类上下文可包括但不限于所使用的实际认证方法。在PingFederate中。

只是为了澄清一下。打开的令牌将被发送到反向代理，反向代理将解析令牌并将头变量转发给Hyperion应用程序。非常感谢您的澄清。谢谢。