我有一种情况,我们想更新身份提供者数据(例如Azure AD等),例如向帐户添加/删除某些组。我认为,需要SCIM之类的标准来获得对多个身份提供者的支持。
SCIM规范对我来说很有希望,但是实际上,身份提供者是否支持那些方案?
例如:
例如,身份提供者是否可以实施服务(例如/groups)作为更新组分配的方式?
还是身份提供商发起的搜索呼叫可以接收此信息并更新其数据库?
答案 0 :(得分:0)
这里的全部目的是为身份管理提供唯一的真相来源。如果另一个应用程序想要修改领先的系统状态,则它必须遵守其规则。在IAM情况下,这意味着要运行复杂的访问请求工作流程。一个IdP可能内置了该IdP,或者仅提供了裸字典。
即使在后一种情况下,组分配可能是可变的,但是否完全将IdP特定的组发送到目标完全取决于供应配置。通常,仅提供用户帐户,并且组分配在目标中完全独立进行。
也许您的用例实际上是从修改提供IdP的源系统中的组分配开始的?