OpenID Connect introspect, ID 토큰 및 사용자 정보 맵핑

온라인에서 편집하기

IBM® Verify의 OAuth 및 Open ID Connect 플로우는 권한 부여를 작성합니다. 이 권한에는 인트로스펙션 응답에 포함된 속성 및 값과 ID 토큰 및 사용자 정보 응답이 들어 있습니다.

일반적으로 이러한 속성은 다음 기준 중 하나와 일치하므로 부여에 추가됩니다.
  • preferred_username과(와) 같은 기본 속성입니다.
  • scopeclaims을(를) 사용하여 권한 부여 요청에서 계산됩니다.
  • 속성 및 요청 맵핑을 기반으로 합니다.
속성 맵핑은 권한 부여의 속성 이름을 신뢰 당사자가 사용할 수 있는 항목에 맵핑할 수 있는 추가적인 이점을 제공합니다.

프로시저

ID 토큰 및 사용자 정보 맵핑과 소개 맵핑 중에서 선택할 수 있습니다. 두 가지 모두에 대한 프로시저는 동일합니다. 전자에 대해 정의된 속성은 발급된 ID 토큰과 API 응답에 userinfo 포함됩니다. 인트로스펙트 맵핑의 경우 정의된 속성이 인트로스펙션 응답에 추가됩니다.

참고: 속성 값은 그랜트 유형에 따라 요청 엔드포인트에서 계산됩니다. 예를 들어, 인증 코드 흐름에서는 이러한 값들이 요청 시점에 /authorize 도출됩니다.
  1. ‘응용 프로그램’ > ‘응용 프로그램’을 클릭한 다음 해당 응용 프로그램을 선택하십시오.
  2. 설정 아이콘을 클릭한 다음, ‘로그인’ 탭을 클릭하고 ‘엔드포인트 구성 ’까지 스크롤합니다.
  3. Introspect 또는 ID 토큰 및 사용자 정보를 보려면 편집 아이콘을 클릭하세요.
  4. ID 토큰 및 사용자 정보 의 경우,
    • “최소 클레임만 반환” 확인란을 선택하면 ID 토큰의 클레임 수를 사양에서 요구하는 최소 수준으로 줄일 수 있습니다. OpenID 의 Connect Core 1.0 를 참조하십시오. 여기에는 에라타 세트 2 ID 토큰이 포함되어 있습니다. 요청에 포함된 범위 및 클레임 매개변수, ‘ID 토큰에 알려진 모든 사용자 속성 전송’ 옵션, 그리고 그 뒤에 이어지는 모든 속성 매핑은 최소 클레임에 추가로 적용됩니다.
      참고: 최소 청구 항목으로 생성된 ID 토큰은 토큰 교환에 사용할 수 없습니다.
    • ID 토큰에 기본 제공 표준 속성과 확장 속성을 포함하려면 ‘ID 토큰에 알려진 모든 사용자 속성 보내기’ 확인란을 선택하십시오. 확장 속성은 SAML Enterprise 신원 제공자로부터 제공되는 추가 속성입니다.
  5. ‘속성 추가’를 클릭하세요.
  6. 메뉴에서 Verify 속성을 선택하십시오. 특정 속성을 선택하는 대신, 속성 확인하기 메뉴에서 "사용자 정의 규칙"을 선택하여 속성 값을 계산하는 사용자 정의 규칙을 작성할 수 있습니다. Managing attributes속성에 대한 자세한 내용은 다음을 참조하십시오.
  7. 선택적으로 단순 변환을 선택하십시오.
  8. 신뢰 당사자가 전송해야 하는 대상 속성의 이름을 지정하십시오. 예를 들어, Verify은(는) 사용자의 이름에 given_name을(를) 사용합니다. 신뢰 당사자가 이 속성을 ID 토큰에 firstName(으)로 포함해야 하는 경우 대상 속성의 이름으로 firstName을(를) 사용하십시오. aud다음 속성은 덮어쓸 수 없습니다: exp, groupIds, groupUids, at_hash, c_hash, rt_hash, s_hash, iat, iss,, nonce, sub, client_id, grant_id, grant_type, 및 scope.
    참고:sub 속성은 ID 토큰 및 사용자 정보 속성 맵에만 사용할 수 있으며, 해당 매핑은 인트로스펙션, JWT 액세스 토큰, ID 토큰 및 사용자 정보에 적용됩니다.
  9. ‘새로 고침 시 업데이트’ 확인란을 선택하면 새로 고침 토큰 처리 과정에서 이 속성이 업데이트됩니다.
    참고: 이 업데이트에는 로그인 세션 속성이 포함되어 있지 않으며, Cloud Directory에 있는 사용자 정의 속성 규칙이나 사용자 속성 값에 의존합니다.
  10. ‘동의 필요’ 확인란을 선택하면, 관련 범위에 대해 동의가 이루어진 경우에만 이 속성이 생성됩니다.
  11. 모든 속성 맵핑이 추가된 후 확인을 클릭하십시오. 이러한 변경사항은 저장되지 않습니다.
  12. 변경사항을 저장하려면 애플리케이션에서 저장을 클릭하십시오.
ID 토큰 및 사용자 정보 섹션을 편집하고 다음 단계를 수행하여 userinfo 응답 유형을 구성하십시오.
  1. 사용자 정보에 대한 JWT 응답 선택란을 선택하십시오. 사용자 정보 응답은 JSON 웹 토큰(JWT) 형식이 됩니다.
  2. 드롭 다운 목록에서 서명 알고리즘을 선택하십시오.
  3. 드롭 다운 목록에서 서명 인증서를 선택하십시오.

    ES256 서명 알고리즘이 선택된 경우 인증서는 P-256을 사용하는 ECDSA여야 합니다. ES384 서명 알고리즘이 선택되면 인증서는 P-384를 사용하는 ECDSA여야 합니다. ES512 서명 알고리즘이 선택되면 인증서는 P-521을 사용하는 ECDSA여야 합니다.

  4. 드롭 다운 목록에서 암호화 알고리즘을 선택하십시오. 암호화가 필요하지 않은 경우 없음을 선택하십시오.
  5. 드롭 다운 목록에서 컨텐츠 알고리즘을 선택하십시오. 암호화가 필요하지 않은 경우 없음을 선택하십시오.
  6. 드롭 다운 목록에서 암호화 키를 선택하십시오. 암호화가 필요하지 않은 경우 이를 공백으로 두거나 상자를 지우십시오.

사용자 정의 룰

4 단계의 절차’에서 ‘사용자 지정 규칙’을 선택한 경우, 편집 아이콘을 선택하여 고급 규칙 인터페이스를 표시하십시오. ‘속성 함수’ 항목을 참조하십시오. 구문 문서에 설명된 모든 도메인 오브젝트를 사용할 수 있습니다.