与 LDAP 服务器相比,OpenID Connect 部署中存储的用户帐户详细信息(例如用户 ID、密码、组等)在哪里?据我了解,应用程序(RP 依赖方)将用户重定向到授权服务器(OP-OpenID 提供程序),并提示用户提供凭据。但是,OP 如何对用户进行身份验证呢?它本身包含用户帐户详细信息还是引用资源服务器?另外,是否有办法将组作为包含在 JWT 范围内的声明(如果它还不是 JWT 的一部分)?
谢谢!
这取决于身份提供商的配置。在 Okta 中,您可以拥有 AD/LDAP 中的用户,以及直接在 Okta 中创建的用户。因此,可以针对 Okta 自己的数据库或外部提供商(基于 LDAP、SAML、OIDC)进行身份验证。
资源服务器永远不会被视为用户存储,因为它在 OIDC 流中的唯一作用是向客户端提供特定的资源/服务。
在 Okta 中,您可以将组配置为声明。您可以查看这篇文章以了解如何实现它。