将两个UAA实例配置为联合后,例如UAA1(依赖方) - 使用 - > UAA2(ID提供商)通过OIDC机制,我可以使用UAA1通过认证码工作流来验证UAA2上定义的用户。 UAA1在其实例中定义了影子用户,但它不捕获为UAA2上的用户定义的组。
例如,user1_uaa2位于UAA2上,它属于名为uaa.test的组。通过UAA1登录后,在UAA1中创建了影子用户user1_uaa2,但其组信息丢失。
如何将用户的群组信息传播回基于OIDC的UAA联盟中的依赖方?
由于
答案 0 :(得分:0)
我认为根据源代码,在最新版本的UAA(V4.10)中,UAA只返回openid作为id_token和/ userinfo中的作用域,无论访问令牌是否具有角色作用域。这意味着作为OIDC或SAML身份提供者,它不提供用户组信息。
在我看来,它的代码可以工作,并且能够在UAA作为SP或代理其他国内流离失所者时检索群组信息。它将这些信息存储到user_info表。