我正在使用一个名为CodeTogether的应用程序,该应用程序通过OIDC支持SSO。对于SSO提供商,我们使用OneLogin,其中我们使用一些非常基本的配置设置了OIDC应用程序。
Login redirect URI: https://<codetogether-server>/sso/authorization-code/callback
Logout URI: https://<codetogether-server>/sso/logout
Application type: Web
Token endpoint: Basic
其他一切都是OneLogin的默认设置。
在OneLogin OIDC的众所周知的配置中,offline_access
范围不在scopes_supported
属性中。CodeTogether在尝试登录时在回调请求中请求此作用域。
回调请求如下:https://<onelogin>/oidc/2/auth?client_id=<oidc client id>&scope=openid%20profile%20offline_access&response_type=code&redirect_uri=https%3A%2F%2F<codetogether server>%2Fsso%2Fauthorization-code%2Fcallback&state=<state>
关于如何在OneLogin中启用此范围的一些信息将非常棒,谢谢!
根据OneLogin文档,密码授予流支持offline_access。将其与隐式或授权代码流一起使用会导致错误。