在 SCIM2 规范中,可以提供 externalId。这是将用户与身份提供商 (IdP) 关联起来所必需的。然而,SCIM2 规范本身并没有提供指定 IdP 的机制。
最终目标是实现对多个 IdP 的支持,例如 Google Workspace 和 Entra ID(Azure)。
我假设 externalId 不能保证在不同 IdP 中是唯一的。
考虑到未来使用多个 IdP 的可能性,SCIM2 中是否有推荐的方法将 externalId 与特定 IdP 相关联?
SCIM 核心文档:https://scim.cloud 了解有关 SCIM 2.0 的更多信息。
SCIM 规范中有关 externalId 的语言提到了这一点,我怀疑这就是您要解决的问题:
服务提供商必须始终将 externalId 解释为范围 配置域。
您随后遇到的问题 - 如何识别 IdP/SCIM 客户端 - 以及“配置域”含义的模糊性 - 导致大多数 SCIM 服务提供商将 externalId 实现为简单的简洁字符串。看待这一问题的一种方法是,SCIM 服务提供商将“配置域”解释为应用程序中的特定目录/租户,而不是与 IdP 相关的任何内容或 SCIM 客户端表示的任何数据。