我们有 AD FS 2016 面向我们的公司 Active Directory 域,用于公共 OAuth2/OpenID Connect 身份验证。我们正在开发一个简单的应用程序,它使用我们的 AD FS 作为 OAuth2/OpenID Connect 身份提供者。
用户通过 OpenID Connect 进行身份验证,然后在第一次使用时我们提供本地用户。在所有身份验证中,我们都存储访问令牌。
有一个后台服务可以根据注册用户的本地配置文件(使用来自 IP 声明的信息进行初始化)向注册用户发送电子邮件和 SMS 通知。使用离线访问令牌,我想根据 IP(我们的 AD FS 服务器)确认用户仍然有效(未禁用)。应用程序网站和后台服务都没有在我们的公司局域网内运行。所有访问都将严格通过 AD FS/OAuth2/OpenID Connect。
是否有使用 OAuth2/OpenID Connect 的标准方法来验证经过身份验证的用户(在访问令牌中表示)是否仍然启用/有效?
实际应用是,如果员工离开公司并且他们的 Active Directory 帐户被禁用,我们不应该向他们发送通知。