红帽全球峰会7.4. 内部令牌交换的外部令牌
您可以针对内部令牌信任并交换外部身份供应商连接外部令牌。这可用于在域间桥接,或者只是从您的社交提供程序信任令牌。它与一个身份提供商浏览器登录类似,如果新用户在您的域中导入您的域中(如果它不存在)。
注意
外部令牌交换的当前限制是,如果外部令牌映射到现有用户,则不会允许交换,除非现有用户已向外部身份提供程序有帐户链接。
当交换完成时,将在 realm 中创建用户会话,并且根据 requested_token_type 参数值,您会收到访问或刷新令牌。您应该注意,这个新用户会话将保持活动状态,直到超时或直到您通过此新访问令牌调用域的注销端点。
这些类型的更改需要在 Admin 控制台中配置的身份提供程序。
注意
目前,不支持 SAML 身份提供程序。Twitter 令牌不能交换。
7.4.1. 为交换授予权限
在完成外部令牌交换之前,授予调用客户端的权限,以便进行交换。此权限以与内部 权限相同的方式授予。
如果您还提供一个 使用者 参数,其值指向调用一个不同的客户端,则必须授予调用客户端的权限,以交换到在 受众 参数中指定的目标客户端。本节稍后将对此进行 探讨。
