Zuordnung von OpenID Connect-Selbstüberwachung, ID-Token und Benutzerinformationen

Online bearbeiten

Im Rahmen der OAuth- und OpenID Connect-Abläufe in IBM® Verify wird eine Berechtigungserteilung erstellt. Diese Erteilung enthält die in der Selbstüberwachungsantwort enthaltenen Attribute und Werte sowie das ID-Token und die Benutzerinformationsantwort.

Normalerweise werden diese Attribute der Erteilung hinzugefügt, weil sie eines der folgenden Kriterien erfüllen:
  • Sind Standardattribute wie preferred_username.
  • Sie werden aus der Berechtigungsanforderung mithilfe von scope und claims berechnet.
  • Sie basieren auf Attribut- und Anforderungszuordnungen.
Die Attributzuordnung bietet einen zusätzlichen Vorteil, wenn der Name des Attributs in der Erteilung einem Element zugeordnet werden kann, das von einem vertrauenden Dritten (Relying Party) genutzt werden kann.

Vorgehensweise

Sie können zwischen der Zuordnung von ID-Token und Benutzerinformationen und der Zuordnung der Selbstüberwachung wählen. Die Prozedur für beide ist identisch. Die für Ersteres definierten Attribute werden dem ausgestellten ID-Token sowie der userinfo API-Antwort hinzugefügt. Für die Zuordnung der Selbstüberwachung werden definierte Attribute zur Selbstüberwachungsantwort hinzugefügt.

Hinweis: Die Attributwerte werden am Anfrage-Endpunkt auf der Grundlage des Berechtigungstyps berechnet. Beispielsweise werden diese Werte bei einem Autorisierungscode-Ablauf bei der /authorize Anfrage ermittelt.
  1. Klicken Sie auf „Anwendungen“ > „Anwendungen“ und wählen Sie Ihre Anwendung aus.
  2. Klicken Sie auf das Einstellungssymbol, wechseln Sie zur Registerkarte „Anmeldung“ und scrollen Sie nach unten zu „Endpunktkonfiguration “.
  3. Klicken Sie auf das Bear beitungssymbol für Introspect oder das ID-Token und die Benutzerdaten.
  4. Für ID-Token und Benutzerdaten,
    • Aktivieren Sie das Kontrollkästchen „Nur Mindestanforderungen zurückgeben“, um die Ansprüche im ID-Token auf das für die Spezifikationen erforderliche Minimum zu reduzieren. Siehe OpenID Connect Core 1.0, einschließlich des Errata-Satzes 2 für ID-Token. Die in der Anfrage angegebenen Scope- und Claims-Parameter, die Option „Alle bekannten Benutzerattribute im ID-Token senden “ sowie alle nachfolgenden Attributzuordnungen gelten zusätzlich zu den Mindest-Claims.
      Hinweis: ID-Token, die mit minimalen Ansprüchen generiert wurden, können nicht für den Token-Umtausch verwendet werden.
    • Aktivieren Sie das Kontrollkästchen „Alle bekannten Benutzerattribute im ID-Token senden“, um integrierte Standardattribute und erweiterte Attribute in das ID-Token aufzunehmen. Erweiterte Attribute sind zusätzliche Attribute, die von einem Identitätsanbieter von „ SAML Enterprise“ stammen.
  5. Klicken Sie auf „Attribut hinzufügen “.
  6. Wählen Sie im Menü das Attribut Verify aus. Anstatt ein bestimmtes Attribut auszuwählen, können Sie eine angepasste Regel schreiben, um den Attributwert zu berechnen, indem Sie im Menü Attribut überprüfen die Option "Angepasste Regel" wählen. Weitere Informationen zu Attributen finden Sie unter Managing attributes.
  7. Wählen Sie optional eine einfache Transformation aus.
  8. Geben Sie den Namen des Zielattributs an, das der vertrauende Dritte (Relying Party) senden muss. Beispiel: Verify verwendet given_name als Vornamen des Benutzers. Wenn es für den vertrauenden Dritten (Relying Party) erforderlich ist, dass dieses Attribut in das ID-Token als firstName eingeschlossen wird, verwenden Sie firstName als Namen des Zielattributs. audDie folgenden Attribute können nicht überschrieben werden: exp, groupIds, groupUids, at_hash, c_hash, rt_hash, s_hash, iat, iss,, nonce, sub, client_id, grant_id, grant_type und scope.
    Hinweis: Das sub Attribut kann nur für die Zuordnungen des ID-Tokens und der Benutzerinformationen verwendet werden, und die Zuordnung gilt für die Introspektion, das JWT-Zugriffstoken, das ID-Token und die Benutzerinformationen.
  9. Aktivieren Sie das Kontrollkästchen „Bei Aktualisierung aktualisieren“, um dieses Attribut während eines Refresh-Token-Ablaufs zu aktualisieren.
    Hinweis: Dieses Update enthält keine Anmeldesitzungsattribute und stützt sich auf die benutzerdefinierten Attributregeln oder Benutzerattributwerte, die im Cloud Directory vorhanden sind.
  10. Aktivieren Sie das Kontrollkästchen „Zustimmung erforderlich“, damit dieses Attribut nur dann generiert wird, wenn dem zugehörigen Anwendungsbereich zugestimmt wurde.
  11. Wenn alle Attributzuordnungen hinzugefügt wurden, klicken Sie auf OK. Beachten Sie, dass diese Änderungen nicht gespeichert werden.
  12. Klicken Sie in der Anwendung auf Speichern, damit die Änderungen gespeichert werden.
Bearbeiten Sie den Abschnitt ID-Token und Benutzerinformationen und führen Sie die folgenden Schritte aus, um den Antworttyp userinfo zu konfigurieren:
  1. Wählen Sie das Kontrollkästchen JWT-Antwort für Benutzerinformationen aus. Die userinfo-Antwort hat das JWT-Format (JSON Web Token).
  2. Wählen Sie in der Dropdown-Liste den Signaturalgorithmus aus.
  3. Wählen Sie in der Dropdown-Liste das Signaturzertifikat aus.

    Wenn der Signaturalgorithmus ES256 ausgewählt ist, muss das Zertifikat ECDSA mit P-256 sein. Wenn der Signaturalgorithmus ES384 ausgewählt ist, muss das Zertifikat ECDSA mit P-384 sein. Wenn der Signaturalgorithmus ES512 ausgewählt ist, muss das Zertifikat ECDSA mit P-521 sein.

  4. Wählen Sie in der Dropdown-Liste den Verschlüsselungsalgorithmus aus. Wählen Sie Keine aus, wenn keine Verschlüsselung erforderlich ist.
  5. Wählen Sie in der Dropdown-Liste den Inhaltsalgorithmus aus. Wählen Sie Keine aus, wenn keine Verschlüsselung erforderlich ist.
  6. Wählen Sie in der Dropdown-Liste den Verschlüsselungsschlüssel aus. Lassen Sie das Feld leer oder wählen Sie das Feld ab, wenn keine Verschlüsselung erforderlich ist.

Angepasste Regeln

Wenn Sie in Schritt 4 unter „Vorgehensweise“ die Option „Benutzerdefinierte Regel“ ausgewählt haben, klicken Sie auf das Bearbeitungssymbol, um die Oberfläche für erweiterte Regeln anzuzeigen. Siehe Attributfunktionen. Alle im Syntaxdokument beschriebenen Domänenobjekte sind verfügbar.