PingFederate OAuth 2.0 自定义授权以获取访问/刷新令牌？

Question

我们正在组织中通过 PingFederate 设置 OAuth 2.0。有问题的场景如下 - 我们有一个网站，客户将使用用户名和密码登录。网站内还有一些链接可将客户重定向到合作伙伴网站。合作伙伴网站将通过 SSO 有效负载安全地传递一些基本信息。

合作伙伴网站还需要能够回调我们的 API（在后台进行调用）以获取有关我们客户的其他信息，然后他们将使用这些信息在其网站上显示。

我们的 API 当前设置为通过访问令牌进行访问，API 的使用者通过遵循授权授予流程获得。

在合作伙伴重定向场景中，我们希望合作伙伴网站在进行 Api 调用时不经过授权代码流，因为客户已经登录到我们的网站开始使用他们的凭据，而是在我们重定向到合作伙伴网站时为它安全地（SSO 有效负载）提供访问和刷新令牌，然后它可以使用它来进行 Api 调用？。

是否有我可以调用的授权类型告诉我的授权提供商（PingFederate）我信任客户，基于他已经提供的信息现在给我访问令牌和刷新令牌，然后使用该信息重定向（没有我知道的授权类型能够支持它 - Ping OAuth 设置是否支持我可以说我相信这个客户给我访问和刷新令牌的流程？

Answer 1

听起来您将结合 SAML 和 OAuth 来满足您的业务需求。虽然它没有被定义为标准授权类型，但一种可能的解决方案是在 SAML 断言属性负载中包含访问令牌，这样合作伙伴应用程序就可以在不经过额外重定向的情况下进行调用。 PingFederate 确实提供了通过使用 OGNL 在属性合同履行中创建访问令牌来执行此操作的能力。如何执行此操作的示例在我们的 SDK 文档中：https://www.pingidentity.com/content/dam/developer/documentation/pingfederate/server-sdk/9.3/index.html?com/pingidentity/sdk/oauth20/AccessTokenIssuer.html

如果您在选择正确的 OAuth 授权类型方面需要更多指导，我们的开发人员门户网站上提供了相关信息。请参考：https://www.pingidentity.com/content/developer/en/resources/oauth-2-0-developers-guide.html#get_token