我们正在将 PingID Connect 与我们的应用程序集成,这是一个单页应用程序 (SPA),SPA“捆绑程序”位于 apache 反向代理后面的 tomcat 应用程序服务器上,apache 反向代理还充当所有 API 调用的代理应用程序制作,
我们正在与 apache 模块 mod_auth_openidc 集成,我们的客户通过 Ping 对公司 Active Directory(AD)商店进行身份验证该应用程序具有使用 AD 组的基于角色的访问权限,
我们想通过 OpenID/OAuth 集成基于 AD 组的访问 - AD 组作为 id_token 中的声明发送但是似乎只有在我们将 auth_code 发布到 auth 端点(也有范围作为输入参数),
所以我们无法根据 AD 组选择范围?如果是,这是否意味着我们必须有自定义的基于角色的矩阵存储映射到定义的每个范围?任何建议都非常受欢迎。