여러 응용 프로그램 스택에 대한 일반 인증 시스템으로 OpenID 공급자로 ADFS를 구성하려고합니다. 내 목적은 여러 스택에서 사용할 수있는 솔루션을 정의하는 것입니다.OpenID Connect over ADFS
몇 가지 테스트를 거쳐 사용자를 인증하고 id_token을 검색 할 수있는 수준에 도달했습니다.
이제 기본 ID 토큰에 포함 된 클레임에는 전자 메일과 같은 "표준"으로 간주되는 클레임이 포함되지 않습니다.
Google은 현재 법인 Active Directory 인 클레임 공급자 신탁으로 사용하고 있습니다.
우리가받을 주장의 목록은이 문서의 제한 섹션에서 기본값으로 선언 된 주장의 일부입니다
https://docs.microsoft.com/en-us/azure/architecture/multitenant-identity/adfs
제공 주장은 다음과 같습니다
AUD, authenticationinstant, c_hash, exp, iat, iss, name, nameidentifier, nonce, upn, pwd_exp
예를 들어 upn 필드가 전자 메일 속성과 일치하므로 일종의 해결 방법이 있습니다.
내 목표는 현재 사용중인 다른 OP와 솔루션을 표준화하기 위해 이메일 토큰의 일부로 전자 메일 클레임을 발송하고 응용 프로그램이 코드 기반을 변경하지 않도록하는 것입니다.
id 토큰을 통해 추가 클레임을 발송하도록 ADFS를 구성하려면 어떻게해야합니까?