Мне нужно предоставить набор API для корпоративной среды. Я хотел бы реализовать ADFS SSO, используя OAuth. Пока все хорошо.
Проблема в том, что по разным причинам для определения авторизации в API требуется не только идентификация пользователя, но и приложение, из которого выходит пользователь (обычно пользовательский интерфейс, в конце концов, также может быть некоторым бэкэндом). быть в курсе.
Конечно, это все корпоративная среда, поэтому наши API являются ресурсом, к которому доверенное приложение будет запрашивать доступ, поэтому мы всегда будем знать, какому "client_id" доверять (сначала мы проверим действительный "client_id", а затем выполним авторизация на основе пользователя, для которого токен).
Я вижу способ сделать это, если ADFS может включить в токен доступа где-нибудь (дополнительное поле или утверждение), не имеет значения, «client_id» или даже любая другая уникальная информация на уровне клиента ADFS может поддерживать.
Кто-нибудь знает, как это можно сделать? Я не эксперт по ADFS для его реализации, но мне нужно явно запросить, какое правило для этого нужно настроить в ADFS. Я погуглил столько, сколько смог, но не могу найти ни одного примера того, как включить какую-либо информацию в запрос токена в токен доступа, выданный ADFS.
Спасибо.
Привет.