Claim

I claim vengono elaborati prima nel metodo di autenticazione e poi nella registrazione applicativa, dove e possibile decidere quali claim passano allo step successivo ed eseguire trasformazioni e attivita dei claim.

Tutti i confronti tra claim sono sensibili a maiuscole e minuscole.

Il processo dei claim inizia nel metodo di autenticazione quando un utente si autentica. Li e possibile eseguire trasformazioni e attivita dei claim e configurare quali claim devono essere portati avanti allo step successivo. Successivamente il processo dei claim continua nella registrazione applicativa, dove e anche possibile eseguire trasformazioni dei claim e configurare quali claim devono essere emessi verso l'applicazione / API.

In uno scenario Client Credentials Grant, il processo dei claim viene eseguito solo nella registrazione applicativa. Lo stesso vale per le trasformazioni dei claim e per la configurazione di quali claim devono essere emessi verso l'applicazione / API.

Metodo di autenticazione

Sia in un metodo di autenticazione OpenID Connect sia SAML 2.0, i claim vengono inoltrati aggiungendoli alla lista Forward claims. Tutti i claim vengono inoltrati se alla lista Forward claims viene aggiunto il wildcard *.

Un metodo di autenticazione emette due claim che possono essere letti nella registrazione applicativa e usati nelle trasformazioni e attivita dei claim. I claim si applicano sempre all'ultimo metodo di autenticazione.
I claim emessi dal metodo di autenticazione (inoltro predefinito):

  • auth_method contiene il nome del metodo di autenticazione; il nome e univoco nell'ambiente.
  • auth_method_type contiene il tipo di metodo di autenticazione: login, oidc, oauth2, saml2 oppure env_link.

Un claim sub e i token ricevuti da un Identity Provider esterno vengono annidati con un simbolo pipe (|) dopo il nome del metodo di autenticazione. Esempi:

  • Un sub esterno con valore afeda2a3-c08b-4bbb-ab77-35138dd2ef2d ottiene il valore annidato the-auth-method|afeda2a3-c08b-4bbb-ab77-35138dd2ef2d
  • Un access token esterno con valore eyJhG.cRwczov...nNjb3B.lIjoi viene aggiunto nel claim access_token con il valore annidato the-auth-method|eyJhG.cRwczov...nNjb3B.lIjoi
  • Se l'OpenID Provider esterno restituisce un refresh token, puo essere inoltrato nel claim refresh_token con il valore annidato the-auth-method|refresh-token-value

Registrazione applicativa

Sia in una registrazione applicativa OpenID Connect, OAuth 2.0 sia SAML 2.0, i claim vengono emessi verso l'applicazione / API aggiungendoli alla lista Issue claims. Tutti i claim vengono emessi verso l'applicazione / API se alla lista Issue claims viene aggiunto il wildcard *.

Una registrazione applicativa OpenID Connect puo distinguere se un claim viene emesso solo nell'access token oppure anche nell'ID token.

Una registrazione applicativa OpenID Connect e OAuth 2.0 puo anche portare avanti i claim tramite uno scope. Questo avviene aggiungendo il claim o i claim alla lista Voluntary claims di uno scope. I claim vengono quindi emessi se l'applicazione client richiede quello scope.
Una registrazione applicativa OpenID Connect puo anche distinguere, nei voluntary scope claims, se un claim viene emesso solo nell'access token oppure anche nell'ID token.

La tua privacy

La tua privacy

Usiamo i cookie per migliorare la tua esperienza sui nostri siti. Fai clic sul pulsante 'Accetta tutti i cookie' per acconsentire all'uso dei cookie. Per rifiutare i cookie non essenziali, fai clic su 'Solo cookie necessari'.

Visita la nostra pagina di Informativa sulla privacy per saperne di più