我们的AD FS 2016面向公司的Active Directory域,用于公共OAuth2 / OpenID Connect身份验证。我们正在开发一个使用AD FS作为OAuth2 / OpenID Connect身份提供商的简单应用程序。
用户通过OpenID Connect进行身份验证,然后在首次使用时我们配置本地用户。在所有身份验证中,我们存储访问令牌。
有一项后台服务会根据注册用户的本地资料(使用来自IP的声明信息进行初始化)向注册用户发送电子邮件和短信通知。使用离线访问令牌,我想根据IP(我们的AD FS服务器)确认用户仍然有效(未禁用)。应用程序网站和后台服务都不在我们的公司LAN中运行。所有访问都将严格通过AD FS / OAuth2 / OpenID Connect。
使用OAuth2 / OpenID Connect是否有标准方法可以与IP验证经过身份验证的用户(在访问令牌中表示)是否仍然有效/有效?
这样做的实际应用是,如果员工离开公司并且他们的Active Directory帐户被禁用,我们就不应该向他们发送通知。
答案 0 :(得分:0)
感觉这可以通过OpenID Connect公开的userinfo端点公开。您可能需要设置一些自定义属性 - >声明映射才能使其正常工作,但应该可以。