Vom UserInfo-Endpunkt zurückgegebene Ansprüche konfigurieren

Sie können den Liberty-OpenID-Connect-Provider konfigurieren, um die vom UserInfo-Endpunkt zurückgegebenen Ansprüche anzupassen.

Informationen zu diesem Vorgang

Sie können die Ansprüche konfigurieren, die ein OpenID Connect-Provider des Liberty-Servers zurückgibt, indem Sie in der Datei server.xml die Unterelemente scopeToClaimMap und claimToUserRegistryMap für das Element openidConnectProvider verwenden.

Der UserInfo-Endpunkt von OpenID Connect akzeptiert ein Zugriffstoken als Eingabe und gibt eine Reihe von Ansprüchen des Benutzers zurück, für den das Zugriffstoken erstellt wurde. Die zurückgegebenen Ansprüche werden durch Folgendes bestimmt:
  1. Bereiche in den Zugriffstoken

    Ein Zugriffstoken kann mehrere Bereiche haben. Die Bereiche in einem Zugriffstoken sind die Bereiche, die beim Aufruf des Berechtigungsendpunkts, der das Zugriffstoken erstellte, angegeben werden.

  2. Bereichen zugeordnete Ansprüche

    Jedem Bereich können mehrere Ansprüche zugeordnet sein.

  3. Ansprüchen zugeordnete Eigenschaften für eingebundene Repositorys

    Einem Anspruch kann nur eine Eigenschaft für eingebundene Repositorys zugeordnet sein.

  4. Eigenschaften für eingebundene Repositorys zugeordnete Benutzerregistryattribute

    Einer Eigenschaft für eingebundene Repositorys kann nur ein Benutzerregistryattribut zugeordnet sein.

Anmerkung: LDAP ist der einzige Benutzerregistrytyp, der das Abrufen von UserInfo-Ansprüchen unterstützt.

Liberty definiert Standardbereiche, Ansprüche, Eigenschaften für eingebundene Registrys und Standardzuordnungen.

Tabelle 1. Standardzuordnungen für Bereiche, Ansprüche und Eigenschaften für eingebundene Registrys
Bereich Ansprüche Eigenschaft für eingebundene Registrys
Profil name, given_name, picture displayName, givenName, photoURL
E-Mail email mail
Adresse address postalAddress
Telefon phone_number telephoneNumber

Alle nachfolgenden Schritte sind optional. Der Liberty-Server definiert Standardbereiche, Ansprüche, Eigenschaften für eingebundene Registrys und Standardzuordnungen. Die folgenden Schritte müssen Sie nur ausführen, wenn Sie eine Standardzuordnung ändern oder einen angepassten Geltungsbereich oder Anspruch definieren möchten.

Vorgehensweise

  1. Konfigurieren Sie die Bereichen zugeordneten Ansprüche. Ein Bereich kann mehreren Ansprüchen, die jeweils durch ein Komma getrennt sind, zugeordnet werden.
    Im folgenden Beispiel wird der Bereich CUSTOM_SCOPE1 den beiden Ansprüchen CUSTOM_CLAIM1 und language zugeordnet und der Bereich CUSTOM_SCOPE2 dem Anspruch CUSTOM_CLAIM2.
    <scopeToClaimMap CUSTOM_SCOPE1="CUSTOM_CLAIM1, language"
                     CUSTOM_SCOPE2="CUSTOM_CLAIM2" />
    Anmerkung: Bei der Angabe von Bereichsnamen muss die Groß-/Kleinschreibung beachtet werden. CUSTOM_SCOPE1 und custom_scope1 sind verschiedene Bereiche.
    1. Wenn Sie Bereiche mit gleichlautenden Namen, aber unterschiedlicher Groß-/Kleinschreibung definieren möchten, müssen Sie das Unterelement property verwenden. Im folgenden Beispiel werden die Bereiche CUSTOM_SCOPE1 und custom_scope1 definiert.
      <scopeToClaimMap CUSTOM_SCOPE1="CUSTOM_CLAIM1, language" > 
          <property name="custom_scope1" value="custom_claim1,mobile"/> 
      </scopeToClaimMap>
  2. Konfigurieren Sie die Eigenschaften für eingebundene Repositorys, die Ansprüchen zugeordnet sind. Ein Anspruch kann nur einer Eigenschaft für eingebundene Repositorys zugeordnet werden.
    Im folgenden Beispiel wird der Anspruch CUSTOM_CLAIM1 der Eigenschaft für eingebundene Repositorys departmentNumber zugeordnet. Der Anspruch language wird der Eigenschaft für eingebundene Repositorys preferredLanguage zugeordnet und der Anspruch CUSTOM_CLAIM2 der Eigenschaft für eingebundene Repositorys mail.
    <claimToUserRegistryMap CUSTOM_CLAIM1="departmentNumber"
                            language="preferredLanguage" 
                            CUSTOM_CLAIM2="mail" />
    1. Wenn Sie Ansprüche mit gleichlautenden Namen, aber unterschiedlicher Groß-/Kleinschreibung definieren möchten, müssen Sie das Unterelement property verwenden. Im folgenden Beispiel werden die Ansprüche CUSTOM_CLAIM1 und custom_claim1 definiert.
      <claimToUserRegistryMap CUSTOM_CLAIM1="departmentNumber" >
          <property name="custom_claim1" value="employeeType" />
      </claimToUserRegistryMap>
  3. Konfigurieren Sie die Benutzerregistryattribute, die Eigenschaften für eingebundene Repositorys zugeordnet sind.
    Im folgenden Beispiel wird die Eigenschaft für eingebundene Repositorys photoURL dem LDAP-Registryattribut ldapPersonPicture zugeordnet.
    <ldapRegistry...>
      ...
        <attributeConfiguration>
            <attribute name="ldapPersonPicture" 
                       propertyName="photoURL" 
                       entityType="PersonAccount" />
        </attributeConfiguration>
       ...
    </ldapRegistry>
    Anmerkung: Das LDAP-Attribut muss im Schema der LDAP-Registry definiert sein.

Ergebnisse

Sie haben die Konfiguration abgeschlossen, die erforderlich ist, um vom UserInfo-Endpunkt zurückgegebene Ansprüche anzupassen.

Symbol das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_config_scopes_claims_userinfo
Dateiname: twlp_config_scopes_claims_userinfo.html