This repo demonstrates how you can use Role Based Access Controls, Netlify functions and role based _redirects to create single sign on flows.
TLDR;You can use netlify functions + any identity provider (Auth0, Okta, Netlify identity etc) to gate as many Netlify sites as they want!
- Using Okta
- ... add your provider here!
The protected sites can only be access after logging in through the Login Portal site.
We are using a combination of Netlify functions, Access Control and role based _redirects
┌────────────────────────────────────┐
│ User visits the gated site │
│ │
│ gated.com │◀───────────────────────────────────────────────────┐
│ │ │
└────────────────────────────────────┘ │
│ │
▼ │
┌──────────────────────────────────────────────────────┐ │
│ Netlify role based redirects │ │
│ check for 'nf_jwt' cookie + user role │ │
│ │ │
│ via Netlify `_redirect` rule: │ │
│ │ │
│ /* /:splat 200! Role=* │ │
└──────────────────────────────────────────────────────┘ │
│ │
Has valid jwt + correct role? │
│ │
│ │
┌──────yes───────────┴──────────────No────────────┐ │
│ │ │
│ │ │
│ │ │
▼ ▼ │
┌─────────────────────┐ ┌───────────────────────────────────────────────────────────────────┐ │
│ Success! │ │ │ │
│ │ │ │ │
│ Show gated site │ │ Redirect to Login Portal Site via │ │
│ │ │ Netlify `_redirect` rule: │ │
└─────────────────────┘ │ │ │
│ /* https://login-portal.com/?site=https://gated.com/:splat 302! │ │
│ │ │
│ │ │
└───────────────────────────────────────────────────────────────────┘ │
│ │
▼ │
┌─────────────────────────────────────────┐ │
│ │ │
│ User logs into Portal Site │ │
│ │ │
└─────────────────────────────────────────┘ │
│ │
│ │
▼ │
┌─────────────────────────────────────┐ │
│ Netlify function triggered to │ │
│ verify Okta session │ │
│ │ │
└─────────────────────────────────────┘ │
│ │
│ │
is Okta session valid? │
│ │
│ │
┌───────────No───────────────┴─────yes─────┐ │
│ │ │
│ │ │
│ │ │
│ │ │
▼ ▼ │
┌──────────────────────────────────┐ ┌──────────────────────────────────────┐ │
│ Redirect back to login portal │ │ │ │
│ & show error message │ │ Generate `nf_jwt` cookie and │ │
│ │ │ set cookie in function response │ │
│ "Session invalid" │ │ │ │
└──────────────────────────────────┘ └──────────────────────────────────────┘ │
│ │
│ │
│ │
▼ │
┌─────────────────────────────────────────┐ │
│ Then redirect back to original │ │
│ referrer to set cookie on gated site │ │
│ │ │
│ gated-site.com/set-cookie Function │ │
└─────────────────────────────────────────┘ │
│ │
▼ │
┌───────────────────────────────────┐ │
│ │ │
│ Set nf_jwt cookie on gated.com │ │
│ │ │
└───────────────────────────────────┘ │
│ │
│ │
└─────────────┐ │
│ │
▼ │
┌──────────────────────┐ │
│ │ │
│ Redirect to original │ │
│ URL requested │──┘
│ │
└──────────────────────┘