在这种情况下,我Relying Party(RP)不仅希望获得有关用户的信息,还需要将用户映射到RP的内部用户.因此,我想将Identity Provider(IdP)的现有用户映射到RP中的用户/组.我如何通过OpenID Connect实现这一点(IdP和RP有信任关系;两者都由我控制)?
有什么其他选择来解决这个问题?
我在这里看到两种方法;一个是从 OpenID Connect 的角度来看,另一个是从用户目录处理的角度来看。
Id 令牌声明
OpenID Connect 规范在 id 令牌中定义了标准声明,并提供了定义我们自己的声明的自由。例如,如果RP不能依赖sub声明来识别和映射最终用户,则可以引入除可用标准声明之外的自定义声明。
ID 令牌可能包含其他声明。任何不被理解的声明都必须被忽略
例如,您可以rp_identifier在 id 令牌中定义一个声明,它为您提供 RP 用户 ID。
这将需要对您的 IDP 进行一些配置,并将所需的标识符存储在 IDP 存储中。
目录同步
不确定您的用户目录是如何设置的。但如果您使用外部 IDP,您可能需要同步内部和外部用户目录。我不是该领域的专家,但本文介绍了 Azure Active Directory 同步,供您参考。
尽管用户同步超出了 OpenID Connect 的范围,但许多转向 OpenID Connect 的人在某些时候必须将内部用户映射到 IDP 提供的用户。
| 归档时间: |
|
| 查看次数: |
150 次 |
| 最近记录: |