0

将两个UAA实例配置为联合后,比如UAA1(依赖方)--uses--> UAA2(ID提供者)通过OIDC机制,我可以使用UAA1通过身份验证码工作流程对UAA2上定义的用户进行身份验证。UAA1 在其实例中定义影子用户,但它不捕获为 UAA2 上的用户定义的组。

例如,user1_uaa2 在 UAA2 上,属于名为 uaa.test 的组。通过 UAA1 登录后,在 UAA1 中创建了一个影子用户 user1_uaa2,但其组信息丢失。

在基于 OIDC 的 UAA 联合中,如何将用户的组信息传播回依赖方?

谢谢

4

1 回答 1

0

我认为根据源代码,在 UAA 的最新版本(V4.10)中,UAA 仅返回 openid 作为 id_token 和 /userinfo 中的范围,无论访问令牌是否具有角色范围。这意味着作为 OIDC 或 SAML 身份提供者,它不提供用户组信息。

在我看来,当 UAA 作为 SP 或代理其他 IDP 时,它的代码可以正常工作并且能够检索组信息。它将这些信息存储到 user_info 表中。

于 2018-02-13T06:57:10.887 回答