В настройках, где идентификационный сервер взаимодействует с настройкой ADFS с пользователями из разных групп, что является лучшим методом для обработки заявлений группы.Группы предоставляют доступ к большому набору услуг отдыха, связанных с сервером идентификации.Я действительно хочу уменьшить размер токена до минимума.
Я вижу 3 разные настройки и ищу аргументы о том, что вы делаете и почему.
1) просто включите все утверждения в токен / cookie и не обращайте на это внимания.Размер не является проблемой ...
2) создайте новую область / ресурс, который содержит права доступа на чтение, запись, администрирование и т. Д. Для каждого веб-сервиса / приложения.например, booking_scope, controller_scope, cms_scope, где XXX_scope - это название веб-приложения.Каждое приложение просто запрашивает эту область и получает то, что ему нужно.Будет ли это работать, если служба A вызывает службу B?
3) Не устанавливать претензий и заставлять каждый веб-сервис искать группы пользователей при обработке access_token.Это создаст дополнительные вызовы для поиска каждого веб-вызова в веб-службе.
Если у вас есть другой подход или идея, пожалуйста, дайте мне знать.