在我的服務代理的目錄端點中,我已經定義瞭如下的dashboard_client
。服務儀表板OAuth客戶端無效範圍
"dashboard_client":{
"id":"test-client-id",
"secret":"test-client-secret",
"redirect_uri":"https://dashboard.cf.myorg.com"
}
在我服務儀表盤應用我使用上面定義的客戶端ID發起在CF Dashboard SSO documentation規定的OAuth的授權碼格蘭特流。
一切工作正常(CF authorization_endpoint
重定向與授權碼和儀表板到儀表板,從token_endpoint
獲得訪問令牌),如果爲最小範圍cloud_controller_service_permissions.read
和openid
客戶端的請求。例如
https://login.cf.myorg.com/oauth/authorize?
response_type=code&
client_id=test-client-id&
scope=openid%20cloud_controller_service_permissions.read&
redirect_uri=https://dashboard.cf.myorg.com/auth
然而,如果附加的範圍cloud_controller.read
和/或cloud_controller.write
的客戶端請求(也控制板SSO文檔中提到的),重定向authorization_endpoint
帶有錯誤cloud_controller.read is invalid. Please use a valid scope name in the request
到儀表板。
CF版本2.80.0。
任何想法是什麼問題?
謝謝,是的。雲控制器默認情況下僅創建「openid」和「cloud_controller_service_permissions.read」範圍的OAuth客戶端。我不得不隨後請求UAA管理員將cloud_controller.read作用域添加到由Cloud Controller創建的OAuth客戶端。 – Somu