目前我们的组织使用许多网络应用程序/移动应用程序/API,其中一些针对内部 IdP 进行身份验证,而其他一些则使用第三方专有系统(我们无法控制)。
我们被要求为这些 Web 应用程序实施 SSO,因此我一直在研究 OpenID Connect。考虑到 (a) 终端用户并不总是企业用户,和 (b) SAML 不适合移动应用程序,我认为这将是比 SAML 更好的解决方案。
我相信我已经相当了解流程了,但有一个难点。为了允许用户使用外部 IdP 进行身份验证,我们需要将用户映射回我们的内部 ID。例如,用户使用 OIDC / Google 进行身份验证,导致我们收到用户的唯一 Google 标识符(如果我们进一步查询,则包括电子邮件等),但在将 Google 标识符映射回我们的内部客户 ID 之前,这对我们没有用处。
这个映射是否超出了 OIDC 的范围?如果是,是否有最佳实践方法来做到这一点?我相信我们在这个需求上不是孤立的...
谢谢, 约翰
我们被要求为这些 Web 应用程序实施 SSO,因此我一直在研究 OpenID Connect。考虑到 (a) 终端用户并不总是企业用户,和 (b) SAML 不适合移动应用程序,我认为这将是比 SAML 更好的解决方案。
我相信我已经相当了解流程了,但有一个难点。为了允许用户使用外部 IdP 进行身份验证,我们需要将用户映射回我们的内部 ID。例如,用户使用 OIDC / Google 进行身份验证,导致我们收到用户的唯一 Google 标识符(如果我们进一步查询,则包括电子邮件等),但在将 Google 标识符映射回我们的内部客户 ID 之前,这对我们没有用处。
这个映射是否超出了 OIDC 的范围?如果是,是否有最佳实践方法来做到这一点?我相信我们在这个需求上不是孤立的...
谢谢, 约翰