Active directory 使用Ping OpenID连接作用域的基于广告组的访问-mod_auth_openidc
我们正在将PingID Connect与我们的应用程序集成,这是一个单页应用程序(SPA),SPA“bundler”位于apache反向代理后面的tomcat应用程序服务器上,apache反向代理还充当应用程序进行的所有API调用的代理 我们正在与apache模块mod_auth_openidc集成,我们的客户端通过针对公司Active Directory(AD)存储的Ping进行身份验证 该应用程序使用广告组进行基于角色的访问 我们希望通过OpenID/OAuth集成基于广告组的访问-广告组作为id_令牌中的声明发送 然而,似乎只有在我们将auth_代码发布到auth端点(其范围也作为输入参数)之后,我们才能获得声明(通过id_令牌) 所以我们没有办法根据广告组来选择范围?Active directory 使用Ping OpenID连接作用域的基于广告组的访问-mod_auth_openidc,active-directory,openid,ping,scopes,mod-auth-openidc,Active Directory,Openid,Ping,Scopes,Mod Auth Openidc,我们正在将PingID Connect与我们的应用程序集成,这是一个单页应用程序(SPA),SPA“bundler”位于apache反向代理后面的tomcat应用程序服务器上,apache反向代理还充当应用程序进行的所有API调用的代理 我们正在与apache模块mod_auth_openidc集成,我们的客户端通过针对公司Active Directory(AD)存储的Ping进行身份验证 该应用程序使用广告组进行基于角色的访问 我们希望通过OpenID/OAuth集成基于广告组的访问-广告组作
如果是,这是否意味着我们必须有自定义的基于角色的矩阵存储,它映射到定义的每个范围?欢迎您提出任何建议。我不知道您会如何“根据广告群选择范围”。作用域是客户端在用户进行身份验证之前立即随身份验证请求发送的内容。因此,它独立于组甚至用户。如果您想基于广告组成员身份进行访问,您应该使用现有的
Require-claim-memberOf: