ここでは2つのアプローチがあります。 1つはOpenID Connectの視点からのものです。もう1つはユーザーディレクトリの処理です。
イドトークン請求項
OpenIDの接続仕様は、IDトークン(トークンID定義と前記説明にlink)の特許請求の範囲を規定します。そしてそれは私たち自身の主張を持つ自由を私たちに与えます。たとえば、RP
がsub
のエンドユーザーを識別してマッピングするという主張に依存できない場合、standard claims以外のカスタム請求を導入することができます。
IDトークンには、他のクレームが含まれる可能性があります。使用されていないクレームは無視されなければなりません。
例えば、RPのユーザIDを与えるidトークンにはrp_identifier
というクレームを定義することができます。
IDPには何らかの設定が必要です。また、IDPストレージに必要なIDを格納する必要があります。
ディレクトリ同期
ユーザーディレクトリが設定されているかわかりません。しかし、外部IDPを使用している場合は、内部および外部のユーザーディレクトリを同期させたい場合があります。私はこのドメインの専門家ではありませんが、参考のためにthisの記事でAzureのアクティブなディレクトリ同期について説明しています。
ユーザー同期はOpenID Connectの対象外ですが、OpenID Connectに移行する人の多くは、内部ユーザーをIDP提供のユーザーにマップする必要があります。
エンドトークンを使用してエンドユーザーを認証していますか?また、それが当てはまる場合、あなたが現在持っている問題は、内部トークンとサブトークンのサブパラメータの不一致ですか? –
ディレクトリ同期についても考えましたか? –
ディレクトリ(IDPからRP)を同期する方法がわかりません、それは問題です... – Dunken