שילוב Okta SSO ו-SCIM עבור פלטפורמת בריאות ואיכות חיים ארגונית

יישמנו Okta SSO באמצעות SAML 2.0/OIDC לאימות ו-SCIM 2.0 ל-provisioning, deprovisioning וסנכרון קבוצות אוטומטיים של משתמשים — משולבים ב-backend הקיים מרובה ה-tenants.

ארכיטקטורה

• Identity Provider: Okta (tenants מנוהלים על ידי הלקוח)
• פרוטוקול SSO: SAML 2.0 (ראשי) + OIDC (חלופי)
• Provisioning: שרת SCIM 2.0 מובנה ב-backend של הפלטפורמה
• Backend: NestJS עם PostgreSQL ו-Redis
• שכבת אימות (Auth Layer): סשנים מבוססי JWT עם הנפקת אסימונים מודעת ל-SSO
• לוח מחוונים למנהל מערכת: תצורת tenant מבוססת React עבור הגדרת SSO
• אימות קיים: אימייל/סיסמה + Google OAuth נשמרו לצד SSO

---

יישום SSO (SAML 2.0 / OIDC)

זרימת SAML 2.0

זרימת ה-SAML ביוזמת SP (SP-initiated) עובדת כדלקמן: המשתמש מבקר בדף ההתחברות ובוחר SSO, מזין את דומיין האימייל של החברה שלו, הפלטפורמה מזהה את תצורת ה-Okta של ה-tenant מהדומיין, שולחת AuthnRequest ל-Okta, המשתמש מאמת את עצמו, Okta מחזירה SAML assertion חתום, הפלטפורמה מאמתת את ה-assertion ויוצרת סשן עם אסימוני JWT.

תצורה פר-Tenant

ה-SSO של כל tenant מוגדר עם SSO URL של ספק הזהויות שלו, entity ID, תעודת X.509 לאימות חתימה, יחד עם SP entity ID של הפלטפורמה, assertion consumer service URL, ומיפויי מאפיינים משדות פרופיל ספק הזהויות לשדות משתמשי הפלטפורמה.

חלופת OIDC

עבור לקוחות המעדיפים OIDC על פני SAML, הפלטפורמה תומכת ב-Authorization Code flow עם PKCE, תוך שימוש באותו מיפוי מאפיינים באמצעות OIDC claims ואימות ID token עם JWKS.

ניתוב SSO מרובה Tenants

הפלטפורמה מנתבת משתמשים לספק הזהויות הנכון בהתבסס על דומיין האימייל שלהם. כאשר משתמש מזין את האימייל שלו, הפלטפורמה מחפשת את הדומיין מול תצורות SSO של ה-tenant. אם SSO מוגדר, המשתמש מופנה מחדש ל-tenant ה-Okta של הארגון שלו. אם לא, הוא חוזר לאימייל/סיסמה או Google OAuth. גם Vanity URLs נתמכים לגישת SSO ישירה. ---

יישום SCIM 2.0

שרת SCIM

הפלטפורמה חושפת API תואם SCIM 2.0 ש-Okta קוראת לו לניהול משתמשים וקבוצות. ה-API תומך בפעולות מחזור חיים מלאות של משתמשים (יצירה, קריאה, עדכון, השבתה, מחיקה), CRUD קבוצות עם ניהול חברות, ונקודות קצה (endpoints) סטנדרטיות לגילוי SCIM עבור יכולות, סכמות וסוגי משאבים.

מחזור חיי משתמש באמצעות SCIM

Provisioning:

כאשר מנהל מערכת מקצה משתמש לאפליקציית הפלטפורמה ב-Okta, Okta שולחת בקשת יצירה ל-SCIM API. הפלטפורמה יוצרת את חשבון המשתמש עם שיוך ל-tenant, מסמנת אותו כפעיל וכ-SSO-provisioned, והמשתמש יכול להתחבר מיד באמצעות SSO.

עדכוני פרופיל:

כאשר מנהל מערכת מעדכן פרופיל משתמש ב-Okta, השינויים נדחפים לפלטפורמה באמצעות SCIM. אם יש שינויים במחלקה, חברות בקבוצה מוערכת מחדש באופן אוטומטי.

Deprovisioning:

כאשר משתמש מוסר מהאפליקציה ב-Okta, הפלטפורמה משביתה את החשבון — מבטלת את כל הסשנים הפעילים באופן מיידי, מונעת התחברות נוספת, שומרת נתונים לפי מדיניות שמירת נתונים, ומשחררת את מקום הרישיון.

הפעלה מחדש:

הקצאה מחדש של משתמש ב-Okta מפעילה מחדש את חשבונו עם כל הנתונים ההיסטוריים שלמים.

סנכרון קבוצות

קבוצות Okta ממופות לתפקידי פלטפורמה ולרמות תוכנית — שולטות בגישה לרמות תכונות שונות, יכולות ניהול, לוחות מחוונים מיוחדים, והרשמות לתוכניות בלעדיות. שינויים בחברות בקבוצה ב-Okta נדחפים באמצעות SCIM ומשתקפים בזמן אמת מבלי לדרוש התחברות מחדש. ---

אבטחה ואימות

הנפקת אסימונים לאחר SSO

לאחר אימות SAML assertion, הפלטפורמה מנפיקה JWTs מותאמים ל-tenant עם claims לזהות המשתמש, ארגון, תפקידים (שנגזרים מחברות בקבוצות SCIM), שיטת אימות, וספק זהויות — מה שמאפשר הבחנה בביקורת בין SSO לבין שיטות אימות אחרות.

ניהול סשנים

• סשני SSO מכבדים את משך חיי הסשן של Okta
• Single Logout (SLO) נתמך לסיום סשן כאשר המשתמש מתנתק מ-Okta
• webhook לניתוק ב-back-channel לביטול סשן מיידי
• השבתת SCIM מבטלת את כל הסשנים הפעילים תוך 60 שניות

בקרות אבטחה

• אימות חתימת תגובת SAML מול תעודת X.509 של ה-tenant
• מניעת שידור חוזר של assertion באמצעות מעקב שימוש חד-פעמי
• סבילות להטיית שעון (clock skew) לאימות חותמת זמן של assertion
• אימות הגבלת קהל (audience restriction)
• assertions מוצפנים נתמכים עבור פריסות רגישות
• אימות SCIM endpoint באמצעות Bearer tokens פר-tenant
• הגבלת קצב (Rate limiting) על SCIM endpoints

---

לוח מחוונים לתצורת מנהל מערכת

הגדרת SSO ל-Tenant

לוח המחוונים למנהל מערכת מספק זרימת הגדרה בשירות עצמי:

1. בחירת פרוטוקול — בחר SAML 2.0 או OIDC
2. העלאת מטא נתונים — העלה קובץ IdP metadata XML (מאכלס תצורה אוטומטית)
3. מיפוי מאפיינים — מפה שדות פרופיל של ספק הזהויות לשדות משתמשי הפלטפורמה
4. אימות דומיין — ודא בעלות על דומיין/ים אימייל עבור ניתוב SSO
5. בדיקת חיבור — יזום התחברות SSO לבדיקה לפני הפעלה לכל המשתמשים
6. הגדרת SCIM — צור Bearer token עבור תצורת provisioning של SCIM
7. מיפוי קבוצות — מפה קבוצות ספק זהויות לתפקידים ורמות פלטפורמה

לוח המחוונים מספק גם SP metadata הניתנים להורדה לתצורת אפליקציית ספק זהויות קלה. ---

תכונות עיקריות

1. תמיכה ב-SAML 2.0 + OIDC — בחירת פרוטוקול גמישה לכל tenant
2. SCIM 2.0 Provisioning — יצירת משתמשים, עדכונים והשבתה אוטומטיים
3. מיפוי קבוצה לתפקיד — קבוצות ספק זהויות שולטות ברמות גישה ותוכניות בפלטפורמה
4. Deprovisioning מיידי — השבתת SCIM מבטלת גישה תוך 60 שניות
5. ניתוב SSO מרובה Tenants — גילוי IdP מבוסס דומיין אימייל על פני tenants
6. שיטות אימות דו-קיום — SSO לצד אימייל/סיסמה ו-Google OAuth
7. הגדרה בשירות עצמי — לוח מחוונים למנהל מערכת לתצורת SSO ללא תמיכה הנדסית
8. Single Logout — סשן הפלטפורמה מסתיים כאשר המשתמש מתנתק מספק הזהויות
9. שביל ביקורת (Audit Trail) — כל פעולת SCIM ואירוע SSO מתועדים לצורך ציות
10. סנכרון קבוצות SCIM — שינויים בתפקידים ותוכניות בזמן אמת מחברות בקבוצות ספק זהויות