我们正在将PingID Connect与我们的应用程序集成,这是一个单页应用程序(SPA),SPA" bundler"坐在apache反向代理后面的tomcat app服务器上,apache反向代理也代理应用程序所做的所有API调用,
我们正在与apache模块mod_auth_openidc集成,我们的客户端通过Ping对公司Active Directory(AD)存储进行身份验证 该应用程序使用AD组进行基于角色的访问,
我们希望通过OpenID / OAuth集成基于AD组的访问权限 - AD组在id_token中作为声明发送 然而,似乎只有在我们将auth_code发布到auth端点(也有作为输入参数的作用域)后才能获得声明(通过id_token),
所以我们无法选择基于AD组的范围? 如果是,这是否意味着我们必须有基于自定义角色的矩阵存储,它映射到定义的每个范围?任何建议都是最受欢迎的。