Integrasi Okta SSO & SCIM untuk Platform Kesihatan & Kesejahteraan Perusahaan

Kami melaksanakan Okta SSO melalui SAML 2.0/OIDC untuk pengesahan dan SCIM 2.0 untuk peruntukan pengguna, penyahperuntukan, dan penyegerakan kumpulan automatik — diintegrasikan ke dalam backend multi-penyewa sedia ada.

Seni Bina

• Penyedia Identiti: Okta (penyewa yang diurus pelanggan)
• Protokol SSO: SAML 2.0 (utama) + OIDC (alternatif)
• Peruntukan: SCIM 2.0 server yang terbina dalam backend platform
• Backend: NestJS dengan PostgreSQL dan Redis
• Lapisan Pengesahan: Sesi berasaskan JWT dengan pengeluaran token yang menyedari SSO
• Papan Pemuka Admin: Konfigurasi penyewa berasaskan React untuk persediaan SSO
• Pengesahan Sedia Ada: Email/password + Google OAuth dikekalkan di samping SSO

---

Pelaksanaan SSO (SAML 2.0 / OIDC)

Aliran SAML 2.0

Aliran SAML yang dimulakan oleh SP berfungsi seperti berikut: pengguna melawat halaman log masuk dan memilih SSO, memasukkan domain e-mel syarikat mereka, platform mengenal pasti konfigurasi Okta penyewa daripada domain, menghantar AuthnRequest kepada Okta, pengguna mengesahkan diri, Okta mengembalikan SAML assertion yang ditandatangani, platform mengesahkan assertion dan mencipta sesi dengan token JWT.

Konfigurasi Setiap Penyewa

SSO setiap penyewa dikonfigurasikan dengan URL SSO identity provider mereka, entity ID, X.509 certificate untuk pengesahan tandatangan, bersama-sama dengan SP entity ID platform, URL assertion consumer service, dan pemetaan atribut dari medan profil identity provider ke medan pengguna platform.

Alternatif OIDC

Bagi pelanggan yang memilih OIDC berbanding SAML, platform ini menyokong aliran Authorization Code dengan PKCE, menggunakan pemetaan atribut yang sama melalui OIDC claims dan pengesahan ID token dengan JWKS.

Penghalaan SSO Multi-Penyewa

Platform ini menghalakan pengguna ke identity provider yang betul berdasarkan domain e-mel mereka. Apabila pengguna memasukkan e-mel mereka, platform mencari domain tersebut berdasarkan konfigurasi SSO penyewa. Jika SSO dikonfigurasi, pengguna dialihkan ke penyewa Okta organisasi mereka. Jika tidak, mereka akan kembali menggunakan email/password atau Google OAuth. Vanity URL juga disokong untuk akses SSO terus. ---

Pelaksanaan SCIM 2.0

Pelayan SCIM

Platform ini mendedahkan API yang mematuhi SCIM 2.0 yang dipanggil oleh Okta untuk mengurus pengguna dan kumpulan. API ini menyokong operasi kitaran hayat pengguna penuh (cipta, baca, kemas kini, nyahaktif, padam), CRUD kumpulan dengan pengurusan keahlian, dan endpoint penemuan SCIM standard untuk keupayaan, skema, dan jenis sumber.

Kitaran Hayat Pengguna melalui SCIM

Peruntukan:

Apabila pentadbir menugaskan pengguna kepada aplikasi platform dalam Okta, Okta menghantar permintaan cipta kepada SCIM API. Platform ini mencipta akaun pengguna dengan perkaitan penyewa, menandakan mereka sebagai aktif dan diperuntukkan SSO, dan pengguna boleh log masuk serta-merta melalui SSO.

Kemas Kini Profil:

Apabila pentadbir mengemas kini profil pengguna dalam Okta, perubahan tersebut dihantar ke platform melalui SCIM. Jika berlaku perubahan jabatan, keahlian kumpulan dinilai semula secara automatik.

Nyahperuntukan:

Apabila pengguna dikeluarkan daripada aplikasi dalam Okta, platform menyahaktifkan akaun — membatalkan semua sesi aktif serta-merta, menghalang log masuk selanjutnya, mengekalkan data mengikut polisi pengekalan, dan membebaskan tempat lesen.

Pengaktifan Semula:

Menugaskan semula pengguna dalam Okta akan mengaktifkan semula akaun mereka dengan semua data sejarah kekal utuh.

Penyegerakan Kumpulan

Kumpulan Okta dipetakan kepada peranan platform dan tahap program — mengawal akses kepada tahap ciri yang berbeza, keupayaan admin, papan pemuka khusus, dan pendaftaran program eksklusif. Perubahan keahlian kumpulan dalam Okta dihantar melalui SCIM dan ditunjukkan dalam masa nyata tanpa memerlukan log masuk semula. ---

Keselamatan & Pengesahan

Pengeluaran Token Selepas SSO

Selepas pengesahan SAML assertion, platform mengeluarkan JWT yang skopnya penyewa dengan claims untuk identiti pengguna, organisasi, peranan (diperoleh daripada keahlian kumpulan SCIM), kaedah pengesahan, dan identity provider — membolehkan pembezaan audit antara SSO dan kaedah pengesahan lain.

Pengurusan Sesi

• Sesi SSO mematuhi jangka hayat sesi Okta
• Single Logout (SLO) disokong untuk penamatan sesi apabila pengguna log keluar dari Okta
• Webhook back-channel logout untuk pembatalan sesi segera
• Penyahaktifan SCIM membatalkan semua sesi aktif dalam masa 60 saat

Kawalan Keselamatan

• Pengesahan tandatangan respons SAML terhadap X.509 certificate penyewa
• Pencegahan main semula assertion melalui penjejakan penggunaan sekali
• Toleransi herotan jam untuk pengesahan cap masa assertion
• Pengesahan sekatan audiens
• Assertion yang disulitkan disokong untuk pelaksanaan yang sensitif
• Pengesahan endpoint SCIM melalui Bearer token setiap penyewa
• Penghad kadar pada endpoint SCIM

---

Papan Pemuka Konfigurasi Admin

Persediaan SSO Penyewa

Papan pemuka admin menyediakan aliran persediaan layan diri:

1. Pemilihan Protokol — Pilih SAML 2.0 atau OIDC
2. Muat Naik Metadata — Muat naik IdP metadata XML (mengisi konfigurasi secara automatik)
3. Pemetaan Atribut — Petakan medan profil identity provider kepada medan pengguna platform
4. Pengesahan Domain — Sahkan pemilikan domain e-mel untuk penghalaan SSO
5. Uji Sambungan — Mulakan log masuk SSO ujian sebelum mengaktifkan untuk semua pengguna
6. Persediaan SCIM — Hasilkan Bearer token untuk konfigurasi peruntukan SCIM
7. Pemetaan Kumpulan — Petakan kumpulan identity provider kepada peranan dan tahap platform

Papan pemuka juga menyediakan SP metadata yang boleh dimuat turun untuk konfigurasi aplikasi identity provider yang mudah. ---

Ciri-ciri Utama

1. Sokongan SAML 2.0 + OIDC — Pilihan protokol fleksibel setiap penyewa
2. Peruntukan SCIM 2.0 — Penciptaan, kemas kini, dan penyahaktifan pengguna automatik
3. Pemetaan Kumpulan ke Peranan — Kumpulan identity provider mengawal tahap akses dan program platform
4. Nyahperuntukan Segera — Penyahaktifan SCIM membatalkan akses dalam masa 60 saat
5. Penghalaan SSO Multi-Penyewa — Penemuan IdP berasaskan domain e-mel merentasi penyewa
6. Kaedah Pengesahan yang Wujud Bersama — SSO bersama email/password dan Google OAuth
7. Persediaan Layan Diri — Papan pemuka admin untuk konfigurasi SSO tanpa sokongan kejuruteraan
8. Single Logout — Sesi platform ditamatkan apabila pengguna log keluar dari identity provider
9. Jejak Audit — Setiap operasi SCIM dan acara SSO direkodkan untuk pematuhan
10. SCIM Group Sync — Perubahan peranan dan program masa nyata daripada keahlian kumpulan identity provider