MicrocosmWorksІнновації та архітектура цифрового космосу
Про насКонтакт
MicrocosmWorksІнновації та архітектура цифрового космосу

Надаємо IT-рішення, які мають значення. Ми захоплені технологіями, безпекою та допомогою бізнесу зростати завдяки надійній, інноваційній IT-інфраструктурі.

[email protected]
+91 7011868196
New Delhi, India

Центр зростання AI

AI HubІнновації для стартапівПрискорювач для підприємств

Рішення

Всі рішенняДодатки для здоров'я та фітнесуAI відео платформаРозробка AI агентів

Ресурси

ІнсайтиГалузеві ПосібникиШаблони ВикористанняАрхітектурні ШаблониКейси

Компанія

Про НасКонтактНаша Робота

Послуги

Цифровий КонсалтингХмарна ІнфраструктураРозробка SaaSРозробка AIВідео Технології
Розробка ERPНалаштування ZohoРозробка OdooІнтеграція SalesforceРозробка Користувацьких CRM
Інтеграція QuickBooksРішення IoTРозробка Блокчейну
Консалтинг з КібербезпекиІТ Підтримка - L3

© 2026 MicrocosmWorks. Усі права захищено.

Політика КонфіденційностіУмови Обслуговування
Назад до Кейсів
Enterprise AuthОпубліковано June 22, 2026 · Оновлено June 22, 2026

Інтеграція Okta SSO та SCIM для корпоративної платформи здоров'я та благополуччя

Корпоративна SaaS-платформа для здоров'я та благополуччя потребувала підтримки великих організаційних клієнтів, яким потрібен був Single Sign-On (SSO) для безперешкодного доступу співробітників та автоматизованого створення/деактивації облікових записів користувачів через SCIM — обов'язкова вимога для корпоративних продажів.

Обговоріть Ваш Проєкт
okta-sso-scim-integration.webp
Enterprise Auth
Domain
11
Technologies
6
Key Results
Delivered
Status

Виклик

Корпоративні клієнти відмовлялися впроваджувати платформу без федерації ідентифікаторів та автоматизованого керування життєвим циклом:

  • Вимога щодо SSO — IT-відділи вимагали, щоб співробітники входили через свого корпоративного identity provider, а не за допомогою окремих облікових даних
  • Навантаження через ручне підключення — Додавання сотень співробітників вручну при реєстрації нової організації займало дні адміністративної роботи
  • Ризик відключення — Коли співробітники залишали організацію, їхні облікові записи на платформі залишалися активними протягом тижнів, що створювало проблеми з дотриманням нормативних вимог та доступом до даних
  • Доступ на основі груп — Різні групи співробітників потребували різних рівнів функціоналу та доступу до програм
  • Складність багатоорендної архітектури — Кожен корпоративний клієнт мав власного identity provider tenant з різними конфігураціями, відображеннями атрибутів та груповими структурами
  • Співіснування наявної автентифікації — Платформа вже мала автентифікацію на основі email/password та OAuth; SSO мала співіснувати, не порушуючи наявні потоки

Наше Рішення

Ми впровадили Okta SSO через SAML 2.0/OIDC для автентифікації та SCIM 2.0 для автоматизованого створення, деактивації облікових записів користувачів та синхронізації груп — інтегроване в існуючий багатоорендний backend.

Архітектура

  • Identity Provider: Okta (орендарі, керовані клієнтом)
  • SSO Protocol: SAML 2.0 (основний) + OIDC (альтернативний)
  • Provisioning: SCIM 2.0 сервер, вбудований у backend платформи
  • Backend: NestJS з PostgreSQL та Redis
  • Auth Layer: Сесії на основі JWT з видачею токенів з урахуванням SSO
  • Панель адміністратора: Конфігурація орендаря на основі React для налаштування SSO
  • Наявна автентифікація: Email/password + Google OAuth збережено поряд з SSO

---

Реалізація SSO (SAML 2.0 / OIDC)

Потік SAML 2.0

Потік SAML, ініційований SP, працює наступним чином: користувач відвідує сторінку входу та вибирає SSO, вводить домен електронної пошти своєї компанії, платформа ідентифікує конфігурацію Okta орендаря за доменом, надсилає AuthnRequest до Okta, користувач автентифікується, Okta повертає підписане SAML assertion, платформа перевіряє assertion та створює сесію за допомогою JWT токенів.

Конфігурація для кожного орендаря

SSO кожного орендаря налаштовується за допомогою SSO URL їхнього identity provider, entity ID, X.509 сертифіката для перевірки підпису, а також SP entity ID платформи, assertion consumer service URL та відображень атрибутів з полів профілю identity provider до полів користувача платформи.

Альтернатива OIDC

Для клієнтів, які віддають перевагу OIDC над SAML, платформа підтримує Authorization Code flow з PKCE, використовуючи те ж відображення атрибутів через OIDC claims та валідацію ID token за допомогою JWKS.

Маршрутизація SSO для багатоорендної архітектури

Платформа маршрутизує користувачів до правильного identity provider на основі їхнього email домену. Коли користувач вводить свою електронну пошту, платформа шукає домен у конфігураціях SSO орендаря. Якщо SSO налаштовано, користувач перенаправляється до Okta tenant своєї організації. Якщо ні, він повертається до email/password або Google OAuth. Vanity URLs також підтримуються для прямого доступу через SSO. ---

Реалізація SCIM 2.0

SCIM сервер

Платформа надає SCIM 2.0 сумісний API, який Okta викликає для керування користувачами та групами. API підтримує повні операції життєвого циклу користувачів (створення, читання, оновлення, деактивація, видалення), CRUD для груп з керуванням членством та стандартні SCIM discovery endpoints для можливостей, схем та типів ресурсів.

Життєвий цикл користувачів через SCIM

Провиження:

Коли адміністратор призначає користувача до додатку платформи в Okta, Okta надсилає запит на створення до SCIM API. Платформа створює обліковий запис користувача з асоціацією орендаря, позначає його як активного та SSO-provisioned, і користувач може негайно увійти через SSO.

Оновлення профілю:

Коли адміністратор оновлює профіль користувача в Okta, зміни передаються на платформу через SCIM. У разі зміни відділу, членство в групі автоматично переоцінюється.

Деактивація:

Коли користувача видаляють з додатку в Okta, платформа деактивує обліковий запис — негайно відкликає всі активні сесії, запобігаючи подальшому входу, зберігаючи дані відповідно до політики зберігання та звільняючи ліцензійне місце.

Реактивація:

Повторне призначення користувача в Okta реактивує його обліковий запис з усіма історичними даними без змін.

Синхронізація груп

Групи Okta відображаються на ролі платформи та рівні програм — контролюючи доступ до різних рівнів функцій, можливостей адміністратора, спеціалізованих дашбордів та ексклюзивних програм. Зміни членства в групах в Okta передаються через SCIM та відображаються в реальному часі без необхідності повторного входу. ---

Безпека та автентифікація

Видача токенів після SSO

Після валідації SAML assertion, платформа видає JWT-токени з обсягом дії для орендаря, що містять claims щодо ідентифікатора користувача, організації, ролей (отриманих з членства в SCIM групі), методу автентифікації та identity provider — що дозволяє розрізняти SSO та інші методи автентифікації для аудиту.

Управління сесіями

  • Сесії SSO дотримуються терміну дії сесії Okta
  • Single Logout (SLO) підтримується для завершення сесії, коли користувач виходить з Okta
  • Webhook для back-channel logout для негайного відкликання сесії
  • Деактивація SCIM відкликає всі активні сесії протягом 60 секунд

Контроль безпеки

  • Перевірка підпису відповіді SAML за X.509 сертифікатом орендаря
  • Запобігання повторному відтворенню assertion за допомогою відстеження одноразового використання
  • Толерантність до зсуву годинника для перевірки часової мітки assertion
  • Перевірка обмежень аудиторії
  • Зашифровані assertions підтримуються для чутливих розгортань
  • Автентифікація SCIM endpoint через Bearer tokens для кожного орендаря
  • Обмеження частоти запитів на SCIM endpoint

---

Панель конфігурації адміністратора

Налаштування SSO орендаря

Панель адміністратора надає потік самостійного налаштування:

  1. Вибір протоколу — Оберіть SAML 2.0 або OIDC
  2. Завантаження метаданих — Завантажте XML метаданих IdP (автоматично заповнює конфігурацію)
  3. Відображення атрибутів — Зіставте поля профілю identity provider з полями користувача платформи
  4. Перевірка домену — Підтвердьте право власності на email домен(и) для маршрутизації SSO
  5. Тестове підключення — Ініціюйте тестовий вхід через SSO перед увімкненням для всіх користувачів
  6. Налаштування SCIM — Створіть Bearer token для конфігурації SCIM provisioning
  7. Відображення груп — Зіставте групи identity provider з ролями та рівнями платформи

Панель також надає метадані SP, які можна завантажити, для легкої конфігурації додатку identity provider. ---

Ключові особливості

  1. Підтримка SAML 2.0 + OIDC — Гнучкий вибір протоколу для кожного орендаря
  2. Провиження SCIM 2.0 — Автоматизоване створення, оновлення та деактивація користувачів
  3. Відображення груп на ролі — Групи identity provider контролюють рівні доступу та програми платформи
  4. Миттєва деактивація — Деактивація SCIM відкликає доступ протягом 60 секунд
  5. Маршрутизація SSO для багатоорендної архітектури — Виявлення IdP на основі email домену для всіх орендарів
  6. Співіснування методів автентифікації — SSO поряд з email/password та Google OAuth
  7. Самостійне налаштування — Панель адміністратора для конфігурації SSO без інженерної підтримки
  8. Single Logout — Сесія платформи завершується, коли користувач виходить з identity provider
  9. Аудиторський слід — Кожна операція SCIM та подія SSO реєструються для дотримання вимог
  10. Синхронізація груп SCIM — Зміни ролей та програм у реальному часі від членства в групах identity provider

Результати

Розблокування підприємств: Вимога SSO + SCIM виконана, що уможливило укладання корпоративних контрактів
Швидкість підключення: Організація з 500 користувачами провіжена за лічені хвилини проти днів ручного налаштування
Дотримання вимог при відключенні: Деактивація поширювалася протягом 60 секунд після видалення з identity provider

Технологічний Стек

OktaSAML 2.0OIDCSCIM 2.0NestJSTypeScriptPostgreSQLRedisJWTReactBearer Token Authentication

caseStudyDetail.more Кейси

Ознайомтесь з іншими нашими технічними впровадженнями

AI Accounting

Обробка рахунків-фактур за допомогою AI, OCR та інтеграції з QuickBooks

Середній бізнес, який щомісяця обробляє сотні рахунків-фактур від постачальників, потребував усунення ручного введення даних шляхом автоматичного вилучення даних рахунків-фактур за допомогою AI/OCR та їх прямої синхронізації з QuickBooks для ведення бухгалтерського обліку та відстеження платежів.

Читати Кейс
Video Encoding

Вставка реклами на стороні клієнта (CSAI) з парсингом маркерів SCTE-35 та інтеграцією багатоплатформного плеєра

Платформа потокового відео потребувала впровадження вставки реклами на стороні клієнта (CSAI) для веб-, мобільних програм та програм для підключених телевізорів — що забезпечує персоналізований рекламний досвід на рівні пристрою з повною підтримкою взаємодії з рекламою (натискні оверлеї, супутні банери, кнопки пропуску), який не може забезпечити вставка на стороні сервера.

Готові Трансформувати Свій Бізнес?

Давайте обговоримо, як ми можемо застосувати подібні рішення для ваших завдань.

Зв'язатися з НамиcaseStudyDetail.viewAllCaseStudies
Впровадження IT: Самостійне налаштування SSO зменшило кількість запитів у підтримку з питань підключення на 80%
Стан безпеки: Централізоване керування ідентифікаторами усунуло сирітські облікові записи
Співіснування автентифікації: Менші клієнти продовжували використовувати email/password без перебоїв
Читати Кейс
Web Scraping

Платформа для скрапінгу та генерації контенту блогів на базі AI

Медіакомпанії була потрібна інтелектуальна контент-платформа, яка могла б автоматизувати створення контенту для блогів шляхом скрапінгу наявного веб-контенту, його аналізу за допомогою AI та генерації оригінальних, SEO-оптимізованих дописів у блогах з видобутих даних.

Читати Кейс

Часті запитання

MicrocosmWorks впровадила протокол SCIM 2.0 для забезпечення автоматичного user provisioning та deprovisioning між Okta та платформою здоров'я та добробуту, тому коли ІТ-адміністратори додають, змінюють або видаляють користувачів у каталозі Okta, ці зміни поширюються на додаток протягом кількох секунд. Це усуває ручне створення облікових записів, оновлення дозволів та завдання з відключення користувачів, які ІТ-команди раніше виконували за допомогою заявок у службу підтримки, зменшуючи накладні витрати на керування доступом приблизно на 90%.

MicrocosmWorks створила конфігурований шар зіставлення ролей, який перетворює членство в групах Okta на ролі та дозволи рівня програми, підтримуючи як прямі зіставлення груп з ролями, так і складні правила, що поєднують кілька членств у групах. Коли членство користувача в групі змінюється в Okta, інтеграція SCIM оновлює дозволи його програми в режимі реального часу, а система реєструє кожну зміну дозволів для відповідності аудиту.

MicrocosmWorks впровадила відкликання сесій у реальному часі, яке відстежує події SCIM deprovisioning та негайно анулює всі активні сесії для деактивованого користувача на всіх пристроях і в усіх браузерах. Система не чекає закінчення терміну дії token; вона активно надсилає відкликання до сховища сесій протягом кількох секунд після події в Okta, що є критично важливим для відповідності вимогам безпеки, коли працівників звільняють і потрібне негайне припинення доступу.

Так, MicrocosmWorks розробила шар автентифікації для підтримки кількох одночасних постачальників ідентифікації за допомогою правил маршрутизації Okta, дозволяючи користувачам з різних корпоративних каталогів автентифікуватися через їхні відповідні IdP під час доступу до одного й того ж екземпляра програми. Це є критично важливим під час M&A переходів, де об'єднані організації зберігають окремі домени Active Directory, і система прозоро обробляє відмінності у відображенні атрибутів між IdP.

MicrocosmWorks реалізує інтеграції Okta SSO та SCIM за ставками $25-$45/год, при цьому типова інтеграція займає 3-6 тижнів, залежно від складності відображення ролей та кількості існуючих атрибутів користувачів, які потрібно синхронізувати. Ця інвестиція — це лише частина постійних витрат на ручне керування користувачами та ризику безпеки через затримку відкликання доступу, і часто є вимогою для укладання корпоративних договорів продажу.