Okta 组在更改默认颁发者后未返回

Okta groups not returning after changing issuer from default

我之前在 Okta 中使用 'default' 授权服务器,它 returning 'groups' 对我来说很好。 URL 如下。另外,请注意我没有明确请求 'groups' 范围,但它仍然 returning 'groups' 没问题,因为我在 [=22= 中添加了要 returned 的组]范围和return'Always'

https://dev-ApplicationID.okta.com/oauth2/default/v1/authorize?client_id=********&response_type=code id_token&scope=openid profile&state=OpenIdConnect.AuthenticationProperties=**************&response_mode=form_post&nonce=********&redirect_uri=https://localhost:44303/authorization-code/callback&post_logout_redirect_uri=https://localhost:44303/&x-client-SKU=ID_NET461&x-client-ver=5.3.0.0

我将发行者更改为删除 'default',身份验证仍然正常,但它停止了 returning 'groups'。我看到仅配置了 1 个授权服务器,即 'default',并且在 id_token 中正确配置为 return 'groups'。除了发行人 URL(只是删除默认设置)之外,我们在 OKTA 方面没有做任何更改。

https://dev-ApplicationID.okta.com/oauth2/v1/authorize?client_id=********&response_type=code id_token&scope=openid profile&state=OpenIdConnect.AuthenticationProperties=**************&response_mode=form_post&nonce=********&redirect_uri=https://localhost:44303/authorization-code/callback&post_logout_redirect_uri=https://localhost:44303/&x-client-SKU=ID_NET461&x-client-ver=5.3.0.0

谁能解释一下这种行为?它会转到不同的授权服务器吗?如果是,我如何将它默认配置为return 'groups'。

由于您的“新”URL 中没有 default,根据 Okta 的文档,它是用于登录 Okta 的 URL,与一个带有“默认”,用于对其他应用程序进行单点登录。 Okta 可能不需要将额外的声明注入到令牌中,他们为自己创建(当他们可以从自己的数据库中获取有关用户的所有信息时,他们对拥有臃肿的令牌不感兴趣)。

换句话说,如果您使用 OIDC/OAuth 登录您自己的应用程序,请按照指南中的建议使用 default - https://developer.okta.com/docs/reference/api/oidc/#composing-your-base-url