Nos gustaría proporcionar un SaaS B2B con el siguiente flujo:
- Los usuarios finales de nuestros clientes cargan sus documentos utilizando nuestra costumbre suba la interfaz de usuario que debe estar incrustada usando un iframe
- Una vez que el usuario termina el subimos procesamos ese documento en nuestro servidor
- nuestros clientes el servidor tiene acceso a los resultados procesados
Solo requerimos el inicio de sesión único iniciado por IDP porque nuestros clientes nunca intentarán iniciar sesión directamente en nuestro servicio; Siempre serán dirigidos desde el sitio del cliente.
Estoy tratando de entender cuál sería la mejor manera de implementar la autenticación. A mi parecer, hay dos partes que necesitan ser autenticadas. 1) IU de carga personalizada 2) Cliente que recupera los resultados procesados para una transacción en particular. Inherentemente, parece que # 1 requiere un token de API simple y # 2 requiere SSO. Pero esto requiere administrar dos mecanismos de autenticación separados, lo que significa más mantenimiento y más integraciones difíciles para el cliente. ¿Existe una forma más sencilla de gestionar esto utilizando un único sistema de autenticación?
Por ejemplo, si utilizamos solo SAML, podríamos realizar un intercambio de metadatos y tanto la IU de carga como la recuperación de los resultados se realizarían llamando al IDP y redirigiéndonos a la URL correcta en nuestro servidor. Parece que debe haber algún "TransactionID" compartido que debe ser conocido por ambos procesos; es decir, en el momento de la carga para adjuntar los resultados, así como en el tiempo de recuperación. Pero cuando inicializa la interfaz de usuario para la herramienta de carga personalizada, no hay ningún método para pasar de manera segura el "TransactionID" del servidor del cliente a nuestro servidor mediante SAML, excepto los atributos de SAML, pero los atributos de SAML no se usan normalmente para proporcionar valores dinámicos como los TransactionID. Esto no parece ser algo que deba ponerse en un atributo SAML. ¿Es posible que deba enviar el TransactionID después de que finalice la autenticación SAML? Pero, ¿cómo lo haría de forma segura?
¿Sería mejor usar OAUTH2 u otra cosa?