Introspecção do OpenID Connect, token de ID e mapeamento de informações do usuário

Editar online

Os fluxos OAuth e Open ID Connect no IBM® Verify criam uma concessão de autorização. Essa concessão contém os atributos e valores que estão incluídos na resposta de introspecção e na resposta de informações do token de ID e do usuário.

Geralmente, esses atributos são incluídos na concessão porque correspondem a um dos critérios a seguir:
  • São atributos padrão como preferred_username.
  • São calculados da solicitação de autorização usando scope e claims.
  • São baseados em mapeamentos de atributo e solicitação.
O mapeamento de atributos fornece um benefício extra no qual o nome do atributo na concessão pode ser mapeado para algo que o terceiro confiável possa consumir.

Procedimento

É possível escolher entre o mapeamento de Token de ID e informações do usuário e o mapeamento de Introspecção. O procedimento para ambos é o mesmo. Os atributos que são definidos para o antigo são incluídos no token do ID emitido e na resposta de API de userinfo. Para o mapeamento de introspecção, os atributos que são definidos são incluídos na resposta de introspecção.

Observação: os valores dos atributos são calculados no ponto final da solicitação com base no tipo de concessão. Por exemplo, em um fluxo de código de autorização, esses valores são calculados na /authorize solicitação.
  1. Clique em Aplicativos > Aplicativos e selecione seu aplicativo.
  2. Clique no ícone de configurações, clique na guia "Login" e role a tela até "Configuração do terminal".
  3. Clique no ícone Editar para acessar o Introspect ou o token de identificação e as informações do usuário.
  4. Para o token de identificação e as informações do usuário,
    • Marque a caixa de seleção “Apenas retornar o mínimo de reivindicações” para reduzir as reivindicações no token de identificação ao mínimo exigido pelas especificações. Consulte OpenID Connect Core 1.0, que inclui o conjunto de erratas 2 do ID Token. Os parâmetros de escopo e reivindicações na solicitação, a opção “Enviar todos os atributos conhecidos do usuário no token de identificação” e qualquer mapeamento de atributos subsequente continuam a ser aplicáveis além das reivindicações mínimas.
      Observação: os tokens de identificação gerados com reivindicações mínimas não podem ser utilizados para a troca de tokens.
    • Marque a caixa de seleção “Enviar todos os atributos de usuário conhecidos no token de identificação” para incluir atributos padrão integrados e atributos estendidos no token de identificação. Os atributos estendidos são atributos adicionais provenientes de um provedor de identidade do SAML Enterprise.
  5. Clique em “Adicionar atributo ”.
  6. Escolha o atributo Verify no menu. Ao invés de escolher um atributo específico, é possível gravar uma regra customizada para calcular o valor do atributo escolhendo "Regra customizada" no menu Verificar atributo. Para obter mais informações sobre atributos, consulte Managing attributes.
  7. Opcionalmente, escolha uma transformação simples.
  8. Especifique o nome do atributo de destino que o terceiro confiável requer que seja enviado. Por exemplo, Verify usa given_name para o nome do usuário. Se o terceiro confiável requerer que esse atributo seja incluído no token de ID como firstName, use firstName como o nome do atributo de destino. audOs seguintes atributos não podem ser sobrescritos: exp groupIds,, groupUids, at_hash c_hash,, rt_hash, s_hash, iat, iss,, nonce, sub, client_id, grant_id, grant_type e scope.
    Observação: O sub atributo só pode ser usado para os mapas de atributos do token de identificação e das informações do usuário, e o mapeamento se aplica à introspecção, ao token de acesso JWT, ao token de identificação e às informações do usuário.
  9. Marque a caixa de seleção “Atualizar na atualização” para atualizar este atributo durante um fluxo de token de atualização.
    Observação: esta atualização não possui atributos de sessão de login e depende das regras de atributos personalizados ou dos valores de atributos de usuário que estão no Cloud Directory.
  10. Marque a caixa de seleção “Exigir consentimento” para gerar esse atributo somente se o escopo associado tiver sido consentido.
  11. Depois que todos os mapeamentos de atributos forem incluídos, clique em OK. Observe que essas mudanças não são salvas.
  12. Clique em Salvar sobre o aplicativo para salvar as mudanças.
Edite a seção Token de ID e info usuário e execute as etapas a seguir para configurar o tipo de resposta userinfo:
  1. Marque a caixa de seleção Resposta JWT para informações do usuário. A resposta das informações do usuário estará no formato JSON Web Token (JWT).
  2. Selecione o Algoritmo de assinatura a partir da lista suspensa.
  3. Selecione o Certificado de assinatura a partir da lista suspensa.

    Se o algoritmo de assinatura ES256 for selecionado, o certificado deverá ser ECDSA com P-256. Se o algoritmo de assinatura ES384 for selecionado, o certificado deverá ser ECDSA com P-384. Se o algoritmo de assinatura ES512 for selecionado, o certificado deverá ser ECDSA com P-521.

  4. Selecione o Algoritmo de criptografia a partir da lista suspensa. Selecione nenhum se a criptografia não for necessária.
  5. Selecione o Algoritmo de conteúdo a partir da lista suspensa. Selecione nenhum se a criptografia não for necessária.
  6. Selecione o Chave de criptografia a partir da lista suspensa. Deixe em branco ou limpe a caixa se a criptografia não for necessária.

Regras Customizadas

Se você escolheu “Regra personalizada” no procedimento da etapa 4, selecione o ícone de edição para exibir a interface de regras avançadas. Consulte Funções de atributos. Todos os objetos de domínio que estão descritos no documento de sintaxe estão disponíveis.