我们正在组织中通过Pingfederation设置OAuth2。有问题的场景如下 - 我们有一个网站,客户将使用用户名和密码登录。网站中还有链接可将客户重定向到合作伙伴网站。合作伙伴站点将通过SSO有效负载安全地传递一些基本信息。
合作伙伴网站还需要能够回拨我们的Apis(在后台拨打电话)以获取有关我们客户的更多信息,然后他们将使用这些信息在他们的网站上显示。
我们的Api目前设置为通过访问令牌访问,Api的消费者通过遵循授权授权流程获得。
在合作伙伴重定向方案中,我们希望合作伙伴网站在进行Api通话时不会通过授权代码流,因为客户已经登录我们的网站以开始使用他们的凭据,而是在我们重定向到合作伙伴网站时安全地(SSO有效载荷)提供访问和刷新令牌,然后它可以用来进行Api呼叫吗?。
是否有我可以调用的授权类型告诉我的授权提供商(Ping Fed),我根据他已提供的信息信任客户现在给我访问令牌和刷新令牌,然后使用该信息重定向(无我知道的授权类型能够支持它 - Ping OAuth设置是否支持流程,我可以说我信任该客户给我访问和刷新令牌?
答案 0 :(得分:0)
听起来您正在将SAML和OAuth结合起来以满足您的业务需求。虽然它未定义为标准授权类型,但一种可能的解决方案是在SAML断言属性有效负载中包含访问令牌,以便合作伙伴应用程序可以在不经过其他重定向的情况下进行调用。 PingFederate确实能够通过使用OGNL在属性合同履行中创建访问令牌来实现此目的。这里总结了如何执行此操作的示例:https://ping.force.com/Support/Group-Detail/PingFederate-Q&A/Feed-Detail/feedId_0D54000002fw6JyCAI
还有其他一些方法可以使用PingFederate将SAML和OAuth结合起来。我强烈建议您查看以下网络研讨会,其中概述了这些网络研讨会:https://ping.force.com/Support/VideoId/1674987866001
最后,如果您需要有关选择正确OAuth授权类型的更多指导,我们会在开发人员门户网站上提供有关此内容的信息。请参阅:https://developer.pingidentity.com/en/resources/oauth-2-0-developers-guide.html#get_token