Claims

Claims werden zuerst in der Authentifizierungsmethode und dann in der Anwendungsregistrierung verarbeitet. Dort kann entschieden werden, welche Claims an den nächsten Schritt weitergegeben werden, und es können Claim Transforms und Claim Tasks ausgeführt werden.

Alle Claim Vergleiche sind case sensitive.

Der Claim Prozess startet in der Authentifizierungsmethode, wenn ein Benutzer authentifiziert. Dort können Claim Transforms und Claim Tasks ausgeführt und festgelegt werden, welche Claims an den nächsten Schritt weitergegeben werden. Danach wird der Claim Prozess in der Anwendungsregistrierung fortgesetzt, wo ebenfalls Claim Transforms ausgeführt und konfiguriert werden kann, welche Claims an die Anwendung / API ausgegeben werden.

In einem Client Credentials Grant Szenario findet der Claim Prozess nur in der Anwendungsregistrierung statt. Gleiches gilt für Claim Transforms und die Konfiguration der Claims, die an die Anwendung / API ausgegeben werden.

Authentication method

In einer OpenID Connect und einer SAML 2.0 Authentifizierungsmethode werden Claims weitergegeben, indem sie der Liste Forward claims hinzugefügt werden. Alle Claims werden weitergegeben, wenn ein Wildcard * zur Liste Forward claims hinzugefügt wird.

Eine Authentifizierungsmethode stellt zwei Claims aus, die in der Anwendungsregistrierung gelesen und in Claim Transforms und Claim Tasks verwendet werden können. Die Claims beziehen sich immer auf die letzte Authentifizierungsmethode. Die ausgegebenen Claims (standardmäßig weitergeleitet):

  • auth_method enthält den Namen der Authentifizierungsmethode, der Name ist in einer Umgebung eindeutig.
  • auth_method_type enthält den Typ der Authentifizierungsmethode: login, oidc, oauth2, saml2 oder env_link.

Ein sub Claim und ein Access Token, die von einem externen Identity Provider empfangen wurden, werden mit einem Pipe Zeichen (|) nach dem up_party Namen verschachtelt. Beispiele:

  • Ein externer sub mit dem Wert afeda2a3-c08b-4bbb-ab77-35138dd2ef2d erhält den verschachtelten Wert the-auth-method|afeda2a3-c08b-4bbb-ab77-35138dd2ef2d
  • Ein externes Access Token mit dem Wert eyJhG.cRwczov...nNjb3B.lIjoi wird in den access_token Claim mit dem verschachtelten Wert the-auth-method|eyJhG.cRwczov...nNjb3B.lIjoi eingefügt

Application registration

In einer OpenID Connect, OAuth 2.0 und SAML 2.0 Anwendungsregistrierung werden Claims an die Anwendung / API ausgegeben, indem sie der Liste Issue claims hinzugefügt werden. Alle Claims werden an die Anwendung / API ausgegeben, wenn ein Wildcard * zur Liste Issue claims hinzugefügt wird.

Eine OpenID Connect Anwendungsregistrierung kann unterscheiden, ob ein Claim nur im Access Token oder auch im ID Token ausgegeben wird.

Eine OpenID Connect und OAuth 2.0 Anwendungsregistrierung kann Claims auch über einen Scope weitergeben. Dies geschieht, indem der Claim oder die Claims zur Liste Voluntary claims eines Scopes hinzugefügt werden. Die Claims werden dann ausgegeben, wenn die Client Anwendung den Scope anfordert. Eine OpenID Connect Anwendungsregistrierung kann auch bei freiwilligen Scope Claims unterscheiden, ob ein Claim nur im Access Token oder auch im ID Token ausgegeben wird.

Ihre Privatsphäre

Wir verwenden Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern. Klicken Sie auf 'Alle Cookies akzeptieren', um der Verwendung von Cookies zuzustimmen. Um nicht notwendige Cookies abzulehnen, klicken Sie auf 'Nur notwendige Cookies'.

Weitere Informationen finden Sie in unserer Datenschutzerklärung