De OAN - Okta Application Network

De OAN is de bibliotheek van alle applicaties welke door Okta zijn geverifieerd en geschikt bevonden om te gebruiken via Okta.

Applicaties in de OAN kunnen er om verscheidene redenen in staan;

  • Simpele SWA login methode
  • Login methode via SAML of WSFED
  • De applicatie ondersteund provisioning
  • Standaard templates geleverd door Okta

In sommige gevallen bieden applicaties een combinatie van bovenstaande aan. Waarbij het aan de admin is om de beste keuze te maken voor de gebruikers.

SWA login

Login via Secure Web Authentication (SWA) is een methode waarbij de browser plugin van Okta nodig is. deze zal met ingevoerde logingegevens de login pagina vullen en op deze wijze een authenticatie doen.

Dit is de meest simpele methode. het werkt nagenoeg altijd en is relatief snel gemaakt. Er hangt daarentegen wel 1 groot nadeel aan deze methode. Dat is namelijk dat andere browser apps, keychains en password managers in staat zijn deze inlog methode te scrubben, waardoor de mogelijke geheime inloggegevens ineens zichtbaar zijn in lokale, niet gemanagede systemen. Er zijn mogelijkheden en aanpassingen beschikbaar, maar dat werkt maar tot een bepaald niveau.

Ons advies is om de belangrijkste data-kritische applicaties beter te beveiligen via

SAML/WSFED

Inloggen via SAML (Security Assertion Markup Language) of WSFED (Web Services Federation) is een veel veiligere methode waarbij er een echte SSO koppeling tot stand wordt gebracht op basis van Identiteitscontrole.

Nadeel van dergelijke inlogmethodes is dat er geen achterdeur is. Dit kan als een positief punt beschouwd worden, maar je gebruiker zal admin rechten moeten hebben indien je als admin taken wilt uitvoeren. In sommige gevallen bied de applicatie een achterdeur voor admins, of stellen ze die zelfs verplicht voor de continuïteit van de service.

G Suite laat administrator altijd buiten de SSO, zodat deze altijd via een username en password kunnen inloggen. Zendesk bied de mogelijkheid om via url/access/normal nog steeds in te loggen met standaard username en password.

Provisioning

Applicaties die provisioning ondersteunen, bieden de mogelijkheid om 'down of upstream' informatie met Okta uit te wisselen over de gebruiker.

Zo is het mogelijk om gebruikers aan te maken en te deactiveren, profiel eigenschappen te delen, licenties correct toe te wijzen, groep toewijzing te geven en aan te geven welke applicatie de 'baas' is over de andere.

Okta templates

Okta bied een legio aan applicatie templates die verscheidene functionaliteiten bieden.

Sommige applicaties hebben extra inlog informatie nodig. Gebruik hiervoor bijvoorbeeld de template plugin apps. Andere hebben nog legacy inlog functionaliteiten en kan je op dat moment kiezen voor oudere methodes als SAML 1.1 oid. Ook kun je via de 'Create a new app' knop in de OAN kiezen voor OpenID connect waarmee je instaat bent eigen ontwikkelde applicaties toegang te verlenen via API van Okta op basis van de OpenID Connect standaarden.