我们的AD FS 2016面向公司的Active Directory域,用于公共OAuth2 / OpenID Connect身份验证 . 我们正在开发一个使用AD FS作为OAuth2 / OpenID Connect身份提供商的简单应用程序 .
用户通过OpenID Connect进行身份验证,然后在首次使用时我们配置本地用户 . 在所有身份验证中,我们存储访问令牌 .
有一个后台服务根据其本地配置文件(使用来自IP的声明的信息初始化)向注册用户发送电子邮件和SMS通知 . 使用离线访问令牌,我想根据IP(我们的AD FS服务器)确认用户仍然有效(未禁用) . 应用程序网站和后台服务都不在我们的公司LAN中运行 . 所有访问都将严格通过AD FS / OAuth2 / OpenID Connect进行 .
是否有一种标准方法使用OAuth2 / OpenID Connect与IP验证经过身份验证的用户(在访问令牌中表示)是否仍然启用/有效?
实际应用是,如果员工离开公司并且其Active Directory帐户被禁用,我们不应向他们发送通知 .
1 回答
感觉这是可以通过OpenID Connect公开的userinfo endpoints 公开的东西 . 您可能需要设置一些自定义属性 - >声明映射才能使其正常工作,但应该可以 .