tài lập bản đồ trong OpenID Connect Dựa Đảng

Question

Trong kịch bản này tôi Relying Party (RP) không chỉ muốn để có được thông tin về một người dùng nhưng cũng cần để ánh xạ một người dùng để người dùng nội bộ của RP. Bởi vì điều này tôi muốn lập bản đồ người dùng hiện tại của Identity Provider (IdP) cho người dùng/nhóm trong RP. Làm thế nào tôi có thể đạt được điều này với OpenID Connect (IdP và RP có một mối quan hệ tin cậy, cả hai đều được kiểm soát bởi tôi)?

tùy chọn khác để giải quyết vấn đề này là gì?

Answer 1

Có hai phương pháp tôi thấy ở đây. Một từ quan điểm của OpenID Connect. Và khác từ xử lý thư mục người dùng.

Id thẻ tuyên bố

OpenID Connect đặc điểm kỹ thuật xác định tuyên bố của một thẻ id (link để định nghĩa thẻ id và tuyên bố giải thích). Và nó cho chúng ta tự do để có những tuyên bố của chính chúng ta. Ví dụ, nếu RP không thể phụ thuộc vào sub khẳng định để xác định và lập bản đồ cho người dùng cuối, người ta có thể đưa ra một tuyên bố tùy chỉnh khác hơn standard claims sẵn.

ID thẻ có thể chứa các xác nhận quyền sở hữu khác. Bất kỳ khiếu nại nào được sử dụng không được hiểu phải được bỏ qua

Ví dụ: bạn có thể xác định yêu cầu rp_identifier trong mã thông báo id cung cấp cho bạn id người dùng RP.

này sẽ đòi hỏi một số cấu hình để IDP của bạn và nhận dạng cũng được giữ những yêu cầu trong lưu trữ IDP.

đồng bộ hóa thư mục

Không chắc cách thư mục người dùng của bạn được thiết lập. Nhưng nếu bạn đang sử dụng một IDP bên ngoài, bạn có thể muốn đồng bộ hóa các thư mục người dùng nội bộ và bên ngoài của bạn. Tôi không phải là một chuyên gia trong lĩnh vực này, nhưng để bạn tham khảo this bài viết giải thích về đồng bộ hóa thư mục hoạt động Azure.

Mặc dù đồng bộ sử dụng là ra khỏi phạm vi của OpenID Connect, nhiều người đang chuyển sang OpenID Connect tại một số điểm có bản đồ người dùng nội bộ cho người dùng ở IDP cung cấp.