是否可以从 Google Cloud Identity Aware Proxy 生成的令牌中获取用户组成员资格
Is it possible to get user group membership from Google Cloud Identity Aware Proxy generated token
我想将用户组成员信息添加到从 Identity Aware Proxy 生成的 JWT 令牌。
我们可以通过解码 JWT 令牌获取用户标识符后从我们的应用程序调用目录 API 来处理此问题,但我们需要使用 GSuite 域委派配置服务帐户,然后手动配置 GSuite 安全性以允许此帐户呼叫目录 API.
我不想为我的所有应用程序执行所有这些步骤,理想情况下,我想避免在 IAP 看起来可以访问我需要的所有数据时实施授权服务器。
理想情况下,我们希望将群组成员资格(GSuite 信息)添加到从 IAP 生成的 JWT 令牌,并让我们的应用程序通过解码令牌来获取群组。
你觉得可能吗?如果不是,使用 IAP 检索用户组成员资格的最佳方法是什么?
谢谢:)
我认为没有其他 GSuite API 调用的替代方法,因为 IAP 本身不包含在其对 Google 的 OAuth 请求中请求其他范围的方法。
我有一个,我想从 IAP 那里获得额外的个人资料信息,并从 IAP 工程师 Matthew Sachs 那里收到了这个答案:
...if IAP provided a way to a) specify additional scopes in its OAuth
request to Google, and if it then b) passed additional claims from the
OIDC token into the IAP JWT, you'd be able to configure IAP to request
the "profile" scope. However, IAP currently only requests the "email"
and "openid" scopes, and doesn't have a mechanism for specifying
additional scopes.
我想将用户组成员信息添加到从 Identity Aware Proxy 生成的 JWT 令牌。
我们可以通过解码 JWT 令牌获取用户标识符后从我们的应用程序调用目录 API 来处理此问题,但我们需要使用 GSuite 域委派配置服务帐户,然后手动配置 GSuite 安全性以允许此帐户呼叫目录 API.
我不想为我的所有应用程序执行所有这些步骤,理想情况下,我想避免在 IAP 看起来可以访问我需要的所有数据时实施授权服务器。
理想情况下,我们希望将群组成员资格(GSuite 信息)添加到从 IAP 生成的 JWT 令牌,并让我们的应用程序通过解码令牌来获取群组。
你觉得可能吗?如果不是,使用 IAP 检索用户组成员资格的最佳方法是什么?
谢谢:)
我认为没有其他 GSuite API 调用的替代方法,因为 IAP 本身不包含在其对 Google 的 OAuth 请求中请求其他范围的方法。
我有一个
...if IAP provided a way to a) specify additional scopes in its OAuth request to Google, and if it then b) passed additional claims from the OIDC token into the IAP JWT, you'd be able to configure IAP to request the "profile" scope. However, IAP currently only requests the "email" and "openid" scopes, and doesn't have a mechanism for specifying additional scopes.