我需要向企业环境公开一组API。我想使用OAuth实施ADFS SSO。到目前为止一切顺利。
问题是,出于种种原因,不仅需要用户身份来确定API中的授权,而且用户所来自的应用程序(通常为UI,最终也可能是某些后端)也需要知道吧。
当然,这都是公司环境,因此我们的API是受信任的应用程序将请求访问的资源,因此我们将始终知道要信任的“ client_id”(我们将首先检查有效的“ client_id”,然后执行根据令牌所针对的用户进行授权)。
我看到一种解决方法是,如果ADFS可以包含在访问令牌中,那么某个地方(附加字段或声明)都没有关系,则“ client_id”或什至可以保留ADFS客户端级别上的任何其他唯一信息。
有人知道如何做到这一点吗?我不是实现它的ADFS专家,但是我需要明确要求在ADFS中为此设置什么规则。我已在Google上进行了尽可能多的搜索,但找不到如何将令牌请求中的任何信息包含到ADFS发出的访问令牌中的任何示例。
谢谢。
致谢。