2

我想将用户组成员信息添加到从 Identity Aware Proxy 生成的 JWT 令牌中。

通过解码 JWT 令牌获取用户标识符后,我们可以通过从我们的应用程序调用 Directory API 来处理这个问题,但是我们需要使用 GSuite 域委派配置服务帐户,然后手动配置 GSuite 安全以允许该帐户调用 Directory API。

我不想为我的所有应用程序执行所有这些步骤,理想情况下,当 IAP 看起来可以访问我需要的所有数据时,我想避免实施授权服务器。

理想情况下,我们希望将组成员身份(GSuite 信息)添加到从 IAP 生成的 JWT 令牌中,并让我们的应用程序通过解码令牌来获取组。

你认为有可能吗?如果不是,使用 IAP 检索用户组成员身份的最佳方法是什么?

谢谢 :)

4

1 回答 1

3

我认为没有其他 GSuite API 调用的替代方法,因为 IAP 本身不包含在其对 Google 的 OAuth 请求中请求其他范围的方法。

我有一个相关的问题,我想从 IAP 获得更多的个人资料信息,并从 IAP 工程师 Matthew Sachs 那里收到了这个答案:

...如果 IAP 提供了一种方法来 a) 在其对 Google 的 OAuth 请求中指定额外的范围,并且如果它然后 b) 将额外的声明从 OIDC 令牌传递到 IAP JWT,您将能够配置 IAP 以请求“个人资料”范围。但是,IAP 目前只请求“email”和“openid”范围,并且没有指定额外范围的机制。

于 2018-08-14T06:29:35.920 回答