У нас есть система управления обучением (LMS), которую мы развертываем в организации. Все пользователи находятся под «учетной записью организации», из которой в нашей системе насчитывается несколько тысяч «учетных записей организаций».Идентификация аутентифицированной учетной записи пользователя Google
Один из наших клиентов использует Google в качестве своей основной системы учета/аутентификации, поэтому мы внедряем OAuth2 как средство обеспечения единого входа для этих клиентов.
Я создал проект Google для нашей платформы и могу успешно использовать Google, чтобы пользователь мог аутентифицировать (https://accounts.google.com/o/oauth2/auth
) стандартным способом с использованием областей openid email profile
. Предполагая, что пользователь аутентифицируется с помощью Google, я могу вернуть токен доступа.
Моя проблема, однако, в том, что список претензий, которые возвращаются, недостаточно для того, чтобы определить, к какой Организации принадлежит учетная запись Google. Я думал, что претензия «Хостинг домен» может однозначно идентифицировать учетную запись google как рабочую учетную запись нашего клиента, однако, если пользователь регистрируется с использованием псевдонима электронной почты, а не адреса основного адреса «Work», то хостинг-домен будет неправильным.
Мне нужно средство для обнаружения того, на какой «рабочей учетной записи» принадлежит аутентифицированная учетная запись Google, чтобы я мог сопоставить ее с правой Организацией на моей платформе.
пример поможет я думаю:
- Наш клиент называется «ABC Ltd»
- Они имеют Google Работа учетной записи, посредством которой первичный адрес электронной почты каждого (домен)»... @ абв .com». У пользователей также есть псевдонимы электронной почты («... @ anotherdomain.com», «... @ gmail.com» и т. Д.)
- Если пользователь аутентифицируется как «[email protected]», заявка «Хозяин домена» возвращается как «abc.com», и мы можем идентифицировать как учетную запись «Пользователь», так и «Работа» (yay)
- Однако, если аутентификация с псевдонимом электронной почты, например, «[email protected]», назад (пусто) или «gmail.com», а не «abc.com». Не похоже, что у меня есть доступ к их основному адресу электронной почты «[email protected]» (сбой).
Любые предложения о том, как я должен открыть «Рабочую учетную запись» аутентифицированного пользователя? Какой-то другой «объем» для запроса? или другой API?
Спасибо.