我使用auth0作为OIDC提供商进行单点登录。
到目前为止,我尝试使用两种应用程序类型登录,一方面是本机应用程序类型,另一方面是机器到机器应用程序类型。
但是,当我登录时,我只收到一个非常简单的id_token,其中包含以下有效负载:
{
"https://example.com/roles": [
"user"
],
"iss": "https://my.idp.provider.com",
"sub": "oauth2|someconnection|samlp|somecompany|someusername",
"aud": "REMOVED",
"iat": 1547652649,
"exp": 1547688649
}
我想在此令牌中添加group声明。如何配置我的Auth0租户添加"group": "admin"作为索赔?我是否需要在我的身份验证客户端中启用特定范围才能收到groups声明?
我已在auth0中安装并配置了授权扩展,但这对我的令牌中的声明没有任何影响。我知道授权扩展不支持机器到机器的应用程序。因此,我添加了本机应用程序并尝试使用该登录,但这也没有返回任何其他声明。
配置授权扩展后,您可以从规则向已颁发的JWT令牌添加自定义声明。这里有一个样本规则来完成这项工作:https://auth0.com/docs/extensions/authorization-extension/v2/rules#add-custom-claims-to-the-issued-token
您也可以使用Hook:https://auth0.com/docs/api-auth/tutorials/client-credentials/customize-with-hooks自定义Client Credentials令牌
编辑:OIDC Comformant应用程序要求您定义命名空间,因为角色和组等授权数据不是OIDC声明。