Ping Fed OAuth2定製授予獲取訪問/刷新令牌？

Question

我們正在組織中通過Pingfederation設置OAuth2。有關情況如下 - 我們有一個網站，客戶將使用用戶名和密碼登錄。網站內還有鏈接將客戶重定向到合作伙伴網站。合作伙伴網站將通過SSO有效載荷安全地傳遞一些基本信息。

合作伙伴網站還需要能夠回電給我們的Apis（後臺撥打電話）以獲取有關我們客戶的其他信息，然後他們將使用這些信息在其網站上顯示。

我們的Api目前設置爲通過訪問令牌進行訪問，API的使用者通過訪問令牌流獲得訪問令牌。

在合作伙伴重定向場景中，我們希望合作伙伴網站在進行Api調用時不會通過授權代碼流，因爲客戶已經登錄我們的網站開始使用他們的憑證，而是在我們重定向到合作伙伴時站點爲它提供安全的（SSO有效載荷）訪問和刷新令牌，然後它可以使用這些令牌來進行Api調用？

是否有我可以調用的授權類型告訴我的授權提供者（Ping Fed）我信任基於他已經提供的信息的客戶現在給我訪問令牌和刷新令牌，然後使用該信息重定向我知道的任何授權類型都不支持它 - Ping OAuth設置是否支持一個流程，我可以說我相信這個客戶給我訪問和刷新令牌）？

Answer 1

這聽起來像您將結合SAML和OAuth來滿足您的業務需求。雖然沒有將其定義爲標準授權類型，但一種可能的解決方案是將訪問令牌包含在SAML Assertion屬性有效內容中，以便合作伙伴應用程序可以在不通過其他重定向的情況下撥打電話。 PingFederate提供了通過使用OGNL在屬性合同履行中創建訪問令牌的功能。總結如下：https://ping.force.com/Support/Group-Detail/PingFederate-Q&A/Feed-Detail/feedId_0D54000002fw6JyCAI

還有其他一些方法可以使用PingFederate組合SAML和OAuth。我強烈建議您查看以下網絡研討會，其中提供了他們的概述：https://ping.force.com/Support/VideoId/1674987866001

最後，如果您需要關於選擇正確的OAuth授權類型的更多指導，我們在我們的開發者門戶網站上提供了有關此指導的信息。請參考：https://developer.pingidentity.com/en/resources/oauth-2-0-developers-guide.html#get_token