Okta 组在更改默认颁发者后未返回

Question

我之前在 Okta 中使用 'default' 授权服务器，它 returning 'groups' 对我来说很好。 URL 如下。另外，请注意我没有明确请求 'groups' 范围，但它仍然 returning 'groups' 没问题，因为我在 [=22= 中添加了要 returned 的组]范围和return'Always'

https://dev-ApplicationID.okta.com/oauth2/default/v1/authorize?client_id=********&response_type=code id_token&scope=openid profile&state=OpenIdConnect.AuthenticationProperties=**************&response_mode=form_post&nonce=********&redirect_uri=https://localhost:44303/authorization-code/callback&post_logout_redirect_uri=https://localhost:44303/&x-client-SKU=ID_NET461&x-client-ver=5.3.0.0

我将发行者更改为删除 'default'，身份验证仍然正常，但它停止了 returning 'groups'。我看到仅配置了 1 个授权服务器，即 'default'，并且在 id_token 中正确配置为 return 'groups'。除了发行人 URL（只是删除默认设置）之外，我们在 OKTA 方面没有做任何更改。

https://dev-ApplicationID.okta.com/oauth2/v1/authorize?client_id=********&response_type=code id_token&scope=openid profile&state=OpenIdConnect.AuthenticationProperties=**************&response_mode=form_post&nonce=********&redirect_uri=https://localhost:44303/authorization-code/callback&post_logout_redirect_uri=https://localhost:44303/&x-client-SKU=ID_NET461&x-client-ver=5.3.0.0

谁能解释一下这种行为？它会转到不同的授权服务器吗？如果是，我如何将它默认配置为return 'groups'。

Answer 1

由于您的“新”URL 中没有 default，根据 Okta 的文档，它是用于登录 Okta 的 URL，与一个带有“默认”，用于对其他应用程序进行单点登录。 Okta 可能不需要将额外的声明注入到令牌中，他们为自己创建（当他们可以从自己的数据库中获取有关用户的所有信息时，他们对拥有臃肿的令牌不感兴趣）。

换句话说，如果您使用 OIDC/OAuth 登录您自己的应用程序，请按照指南中的建议使用 default - https://developer.okta.com/docs/reference/api/oidc/#composing-your-base-url

Okta 组在更改默认颁发者后未返回

Okta groups not returning after changing issuer from default

openid-connect

okta