UserInfo エンドポイントで戻されるクレームの構成
UserInfo エンドポイントによって戻されたクレームをカスタマイズするように Liberty OpenID Connect プロバイダーを構成することができます。
このタスクについて
server.xml ファイルで openidConnectProvider エレメントの scopeToClaimMap サブエレメントと claimToUserRegistryMap サブエレメントを使用することで、Liberty サーバー OpenID Connect プロバイダーから戻されるクレームを構成することができます。
OpenID Connect の UserInfo エンドポイントは、入力としてアクセス・トークンを受け入れ、
アクセス・トークンを作成する対象ユーザーに関するクレームのセットを戻します。
戻されるクレームは、以下によって決まります。
- アクセス・トークン内の有効範囲
アクセス・トークンは複数の有効範囲を持つことができます。 アクセス・トークン内の有効範囲は、アクセス・トークンを作成した許可エンドポイント呼び出しで指定された有効範囲です。
- 有効範囲に関連付けられたクレーム
各有効範囲には、複数のクレームを関連付けることができます。
- クレームに関連付けられた統合リポジトリー・プロパティー
クレームに関連付けられる統合リポジトリー・プロパティーは、1 つのみです。
- 統合リポジトリー・プロパティーに関連付けられたユーザー・レジストリー属性
統合リポジトリー・プロパティーに関連付けられるユーザー・レジストリー属性は、1 つのみです。
注: UserInfo クレームの取得をサポートするユーザー・レジストリー・タイプは LDAP のみです。
Liberty では、デフォルトの有効範囲、クレーム、統合レジストリー・プロパティー、およびデフォルト・マッピングを定義します。
有効範囲 | クレーム | 統合レジストリー・プロパティー |
---|---|---|
profile | name、given_name、picture | displayName、givenName、photoURL |
address | address | postalAddress |
phone | phone_number | telephoneNumber |
以下の各ステップはオプションです。 Liberty サーバーでは、デフォルトの有効範囲、クレーム、統合レジストリー・プロパティー、およびデフォルト・マッピングを定義します。以下のいずれかのステップが必要になるのは、 デフォルト・マッピングを変更する場合、あるいはカスタム有効範囲またはカスタム・クレームを定義する場合のみです。