Configuración de las reclamaciones devueltas por el punto final UserInfo

Puede configurar el proveedor de Liberty OpenID Connect para personalizar las reclamaciones devueltas por el punto final UserInfo.

Acerca de esta tarea

Puede configurar las reclamaciones devueltas de un proveedor de OpenID Connect de Liberty utilizando los subelementos scopeToClaimMap y claimToUserRegistryMap del elemento openidConnectProvider en el archivo server.xml.

El punto final UserInfo de OpenID Connect acepta una señal de acceso como entrada y devuelve un conjunto de reclamaciones sobre el usuario para el que se ha creado la señal de acceso. Las reclamaciones de que devuelven vienen determinadas por:
  1. Los ámbitos en la señal de acceso

    Una señal de acceso puede tener varios ámbitos. Los ámbitos en una señal de acceso son los ámbitos que se proporcionan en la invocación de punto final de autorización que ha creado la señal de acceso.

  2. Las reclamaciones que están asociadas con los ámbitos

    Cada ámbito puede tener varias reclamaciones asociadas con él.

  3. Las propiedades de repositorio federado que están asociadas con las reclamaciones

    Una reclamación sólo puede tener una propiedad de repositorio federado asociada con ella.

  4. Los atributos de registro de usuarios que están asociados con las propiedades de repositorio federado

    Una propiedad de repositorio federado sólo puede tener un atributo de registro de usuarios asociado con ella.

Nota: El único tipo de registro de usuarios que da soporte a la recuperación de reclamaciones UserInfo es LDAP.

Liberty define los ámbitos predeterminados, las reclamaciones, las propiedades de registro federado y las correlaciones predeterminadas.

Tabla 1. Correlaciones predeterminadas de ámbitos, reclamaciones y propiedades de registro federado
Ámbito Reclamaciones Propiedad de registro federado
profile name, given_name, picture displayName, givenName, photoURL
email email mail
address address postalAddress
phone phone_number telephoneNumber

Cada uno de los pasos siguientes es opcional. El servidor de Liberty define los ámbitos predeterminados, las reclamaciones, las propiedades de registro federado y las correlaciones predeterminadas. La única vez que debe realizar cualquiera de los pasos siguientes es si desea cambiar una correlación predeterminada o definir una reclamación o un ámbito personalizado.

Procedimiento

  1. Configure las reclamaciones que están asociadas con los ámbitos. Un ámbito puede estar correlacionado con varias reclamaciones, y varias reclamaciones deben ir separadas por comas.
    En el ejemplo siguiente, el ámbito CUSTOM_SCOPE1 está asociado con dos reclamaciones, CUSTOM_CLAIM1 y language, y el ámbito CUSTOM_SCOPE2 está asociado con la reclamación CUSTOM_CLAIM2.
    <scopeToClaimMap CUSTOM_SCOPE1="CUSTOM_CLAIM1, language"
                     CUSTOM_SCOPE2="CUSTOM_CLAIM2" />
    Nota: Los nombres de reclamaciones y ámbitos son sensibles a las mayúsculas y minúsculas: CUSTOM_SCOPE1y custom_scope1 son ámbitos diferentes.
    1. Para definir ámbitos con la misma ortografía, pero mayúsculas y minúsculas diferentes, debe utilizar el subelemento property. En el siguiente ejemplo, se han definido los ámbitos CUSTOM_SCOPE1 y custom_scope1.
      <scopeToClaimMap CUSTOM_SCOPE1="CUSTOM_CLAIM1, language" > 
          <property name="custom_scope1" value="custom_claim1,mobile"/> 
      </scopeToClaimMap>
  2. Configure las propiedades de repositorio federado que están asociadas con las reclamaciones. Una reclamación sólo puede estar correlacionada con una propiedad de repositorio federado.
    En el siguiente ejemplo, la reclamación CUSTOM_CLAIM1 está asociada con la propiedad de repositorio federado departmentNumber. La reclamación language está asociada con la propiedad de repositorio federado preferredLanguage, y la reclamación CUSTOM_CLAIM2 está asociada con la propiedad de repositorio federado mail.
    <claimToUserRegistryMap CUSTOM_CLAIM1="departmentNumber"
                            language="preferredLanguage" 
                            CUSTOM_CLAIM2="mail" />
    1. Para definir reclamaciones con la misma ortografía, pero mayúsculas y minúsculas diferentes, debe utilizar el subelemento property. En el siguiente ejemplo, se han definido las reclamaciones CUSTOM_CLAIM1 y custom_claim1.
      <claimToUserRegistryMap CUSTOM_CLAIM1="departmentNumber" >
          <property name="custom_claim1" value="employeeType" />
      </claimToUserRegistryMap>
  3. Configure los atributos de registro de usuarios que están asociados con las propiedades de repositorio federado.
    En el siguiente ejemplo, la propiedad de repositorio federado photoURL está asociada con el atributo de registro LDAP ldapPersonPicture
    <ldapRegistry...>
      ...
        <attributeConfiguration>
            <attribute name="ldapPersonPicture" 
                       propertyName="photoURL" 
                       entityType="PersonAccount" />
        </attributeConfiguration>
       ...
    </ldapRegistry>
    Nota: El atributo LDAP debe estar definido en el esquema del registro LDAP.

Resultados

Ha completado la configuración necesaria para personalizar las reclamaciones que devuelve el punto final UserInfo.

Icono que indica el tipo de tema Tema de tarea



Icono de indicación de fecha y hora Última actualización: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_config_scopes_claims_userinfo
Nombre de archivo:twlp_config_scopes_claims_userinfo.html