Okta 在 Azure 虚拟机上保护 web 应用程序

Question

几年来，我们在生产中有 2 个 web 应用程序。 目前只能从公司的 intr.net 访问它们。 公司组织的未来变化需要使这些应用程序可以从 inte.net 访问。 计划使用Okta 来加强安全性。 我对 Okta 还一无所知。 在可能的情况下，更改的影响应尽可能小。

现在的情况：

Web 应用程序 1：

• ASP.NET 使用用户 ID/密码保护的 MVC 解决方案 ASP.NET 具有 forms 身份验证的成员资格。 Userid 是内部用户代码，例如 ADE465。

Web 应用程序 2：

• ASP.NET MVC 解决方案通过IdentityServer2 (Thinktecture) 使用用户 ID/密码身份验证进行保护。 Userid 是名字点姓氏，例如 john.doe。

所有 web 应用程序都托管在 IIS 上名为（假设）FABVM03 的 Azure 虚拟机上。

对于未来的 Okta 集成：无需 SSO（单点登录）。 是否可以简单地使用 Okta 保护服务器 FABVM03 上访问的所有内容？ 或者从特定的 URL 访问的所有内容？

例如，如果有人尝试访问https://example.com/webapp1/login.html，Okta应该出现并要求进行身份验证（Okta 验证），如果成功，则允许用户访问所请求的 url。事实上，'然后应该询问已经存在的登录名/密码，因为已经是这样了。 我同意用户必须输入凭据 2 次：第一次用于 Okta 验证，接下来用于登录特定的 web 应用程序。 但没关系。 如您所知，在这种情况下，无需对 web 应用程序中的代码进行修改。

我的问题是想知道 Okta 是否可以实现类似的功能。 如果不是，Okta 影响较小的可能解决方案是什么？

Answer 1

Okta 不是强制执行您的策略（PEP），它主要是 SSO 和访问管理解决方案。

Okta 有一个组件，称为 OAG（Okta 访问网关），可用于反向代理您的本地应用程序（这也适用于您的情况，因为您的 VPC 实际上等同于“云中的本地” ). 它可以做你想做的事情（保护你的应用程序并请求身份验证/授权），但它是基本 Okta 成本之上的额外 package。

您可能需要在 Azure 网络层上添加一个保护级别，但不确定是否有类似的东西。 我见过 nginx 的一些模块，能够拦截流量并将其重定向到 Okta，如果不附带令牌的话。 所以试着深入研究这两个方向......

Answer 2

您需要一些基于代理的解决方案来与 Okta 对话并为您的应用程序实施保护。 有开源工具：

• https://github.com/vouch/vouch-proxy
• https://github.com/oauth2-proxy/oauth2-proxy
• https://github.com/buzzfeed/sso

或者您可以查看一些商业工具：

• https://www.okta.com/products/access-gateway/
• https://www.datawiza.com/platform/