Mappage de l'introspection d'OpenID Connect, du jeton d'ID et des informations utilisateur
Les flux OAuth et Open ID Connect dans IBM® Verify créent un octroi d'autorisation. Cet octroi contient les attributs et les valeurs qui sont inclus dans la réponse de l'introspection, ainsi que le jeton d'ID et les informations utilisateur.
- Il s'agit d'attributs par défaut comme
preferred_username. - Ils sont calculés à partir de la demande d'autorisation à l'aide de
scopeetclaims. - Ils sont basés sur les mappages d'attributs et de demandes.
Procédure
Vous pouvez choisir entre le mappage du jeton d'ID et des informations utilisateur et le mappage d'introspection. La procédure pour les deux est la même. Les attributs définis pour les premiers sont ajoutés au jeton d'ID qui est émis et dans la réponse de l'API userinfo. Pour le mappage de l'introspection, les attributs définis sont ajoutés à la réponse de l'introspection.
- Cliquez sur , puis sélectionnez votre application.
- Cliquez sur l'icône des paramètres, puis sur l'onglet « Connexion » et faites défiler jusqu'à « Configuration du terminal ».
- Cliquez sur l'icône Modifier pour accéder aux informations relatives à Introspect, au jeton d'identification et à l'utilisateur.
- Pour le jeton d'identification et les informations utilisateur,
- Cochez la case « Ne renvoyer que les revendications minimales » pour limiter les revendications du jeton d'identification au minimum requis par les spécifications. Voir OpenID Connect Core 1.0, qui intègre le jeu d'errata n° 2 pour le jeton d'identification. Les paramètres de portée et de revendications dans la requête, l 'option « Envoyer tous les attributs utilisateur connus dans le jeton d'identification » et tout mappage d'attributs ultérieur s'appliquent toujours en plus des revendications minimales.Remarque : les jetons d'identification générés avec un minimum de revendications ne peuvent pas être utilisés pour l'échange de jetons.
- Cochez la case « Envoyer tous les attributs utilisateur connus dans le jeton d'identification » pour inclure les attributs standard intégrés et les attributs étendus dans le jeton d'identification. Les attributs étendus sont des attributs supplémentaires provenant d'un fournisseur d'identité d' SAML Enterprise.
- Cochez la case « Ne renvoyer que les revendications minimales » pour limiter les revendications du jeton d'identification au minimum requis par les spécifications. Voir OpenID Connect Core 1.0, qui intègre le jeu d'errata n° 2 pour le jeton d'identification. Les paramètres de portée et de revendications dans la requête, l 'option « Envoyer tous les attributs utilisateur connus dans le jeton d'identification » et tout mappage d'attributs ultérieur s'appliquent toujours en plus des revendications minimales.
- Cliquez sur « Ajouter un attribut ».
- Choisissez l'attribut Verify dans le menu. Plutôt que de choisir un attribut spécifique, vous pouvez écrire une règle personnalisée pour calculer la valeur d'attribut en sélectionnant « Règle personnalisée » dans le menu Vérifier l'attribut. Pour plus d'informations sur les attributs, voir Managing attributes.
- Optionnellement, choisissez une transformation simple.
- Indiquez le nom de l'attribut cible dont la partie utilisatrice demande l'envoi. Par exemple, Verify utilise
given_namepour le nom donné de l'utilisateur. Si la partie de confiance requiert que cet attribut soit inclus dans le jeton d'ID sous la formefirstName, utilisezfirstNamecomme nom de l'attribut cible. Les attributs suivants ne peuvent pas être modifiés aud: exp, groupIds, groupUids, at_hash c_hash,, rt_hash, s_hash, iat, iss,, nonce, sub, client_id, grant_id, grant_type et scope.Remarque : l'attribut sub ne peut être utilisé que pour les mappages d'attributs du jeton d'identification et des informations utilisateur, et ce mappage s'applique à l'introspection, au jeton d'accès JWT, au jeton d'identification et aux informations utilisateur. - Cochez la case « Mettre à jour lors de l'actualisation » pour mettre à jour cet attribut lors d'un flux de jetons d'actualisation.Remarque : cette mise à jour ne comporte pas d'attributs de session de connexion et s'appuie sur les règles d'attributs personnalisés ou les valeurs d'attributs utilisateur présentes dans Cloud Directory.
- Cochez la case « Consentement requis » pour que cet attribut ne soit généré que si le consentement a été donné pour le domaine d'application associé.
- Une fois tous les mappages d'attributs ajoutés, cliquez sur OK. Notez que ces modifications ne sont pas sauvegardées.
- Cliquez sur Sauvegarder dans l'application pour enregistrer les modifications.
userinfo :- Cochez la case Réponse JWT pour userinfo. La réponse userinfo sera au format JWT (JSON Web Token).
- Sélectionnez Algorithme de signature dans la liste déroulante.
- Sélectionnez Certificat de signature dans la liste déroulante.
Si l'algorithme de signature ES256 est sélectionné, le certificat doit être ECDSA avec P-256. Si l'algorithme de signature ES384 est sélectionné, le certificat doit être ECDSA avec P-384. Si l'algorithme de signature ES512 est sélectionné, le certificat doit être ECDSA avec P-521.
- Sélectionnez Algorithme de chiffrement dans la liste déroulante. Sélectionnez Aucun si le chiffrement n'est pas requis.
- Sélectionnez Algorithme de contenu dans la liste déroulante. Sélectionnez Aucun si le chiffrement n'est pas requis.
- Sélectionnez Clé de chiffrement dans la liste déroulante. Laissez la case vide ou décochez-la si le chiffrement n'est pas requis.
Règles personnalisées
Si vous avez sélectionné « Règle personnalisée » à l'étape 4 de la procédure, cliquez sur l'icône d'édition pour afficher l'interface avancée des règles. Voir « Fonctions d'attribut ». Tous les objets de domaine décrits dans le document de syntaxe sont disponibles.