當前文檔以OIDC標準協議為例進行單點登入配置說明。
如您希望瞭解IDaaS中支援的SSO協議,請前往:2.標準協議。
IDaaS對OIDC不同模式的支援
您可在如下模式中多選:
模式 | 支援說明 |
用戶端模式 client_credentials | IDaaS使用OIDC用戶端模式,允許應用的 用戶端模式無需勾選,若應用API開放啟用,則模式開啟。 |
授權碼模式 authorization_code | IDaaS中OIDC應用最普適的登入模式。應用將登入委託給IDaaS,並解析 IDaaS返回的 |
令牌重新整理模式 refresh_token | 支援使用 |
裝置模式 device | 裝置模式常用於非B/S架構的應用接入。當裝置不便於直接展示IDaaS登入頁時,允許使用者使用瀏覽器輔助完成登入流程。 |
常規的B/S網頁端公司專屬應用程式,我們建議您勾選授權碼及令牌重新整理模式。
非B/S應用,建議勾選裝置及令牌重新整理模式。
OIDC其他模式IDaaS暫不支援,如有需求,您可以提交需求給我們,我們會根據緊急性和重要性排期進行接入。
IDaaS側配置
| 欄位 | 說明 | 舉例 |
基本配置(必填) | 授權模式 | 為應用選擇要使用的模式。 | 多選:授權碼模式 多選:令牌重新整理模式 |
登入 Redirect URIs | Redirect URI白名單。應用在請求登入時會攜帶 | http://www.xxxx/oidc/sso http://www.xxxx/oidc/sso2 | |
授權範圍 | 請參考:單點登入通用說明。 | 選擇:全員可訪問 | |
進階配置(選填) | 使用者資訊範圍 scopes | 使用者登入後,使用使用者資訊端點可以擷取到的已登入使用者資訊。
| 多選:openid 多選:email 多選:profile |
PKCE | 授權模式中勾選授權碼模式時可選。啟用後,授權碼模式會使用更安全的PKCE擴充流程。 | 預設不勾選 | |
Code Challenge 產生方式 | 開啟PKCE後可選。PKCE擴充中Code Challenge的產生方式。若未勾選開啟 PKCE,則不會顯示。 | - | |
access_token 有效期間 |
| 2小時 | |
id_token 有效期間 |
| 10小時 | |
refresh_token 有效期間 | 用於擷取新的 | 30天 | |
擴充id_token 欄位 | 可以通過擴充 說明 payload中添加的欄位公開可見,請按需使用。 | - | |
id_token 簽名演算法 |
| RSA-SHA256 | |
SSO發起方 | 使用者訪問由應用發起,還是支援門戶發起 | 只允許應用發起 | |
登入發起地址 | 若SSO發起方設定為支援門戶和應用發起,可填寫登入發起地址,即IDaaS發起 SSO請求訪問的應用地址。該地址接收到請求,應即刻轉向IDaaS/authorize授權連接埠。 | - |
應用側配置
OIDC協議允許應用側通過一系列IDaaS開放的標準介面,完成登入認證整套流程。
開放的介面說明如下:
欄位名 | 說明 | 樣本 |
Issuer |
| https://xxxxx.aliyunidaas.com.cn/oidc1 |
發現端點 Discovery | 用於擷取當前IDaaS支援的各端點資訊和支援的模式、參數資訊,可公開訪問。 | https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration |
授權端點 Authorization | 應用發起單點登入的地址。 | https://xxxxx.aliyunidaas.com.cn/oidc/authorize |
令牌端點 token | 應用在單點登入過程中,拿到授權碼 | https://xxxxx.aliyunidaas.com.cn/oidc/token |
驗簽公開金鑰端點 JWKS | 用於驗證 | https://xxxxx.aliyunidaas.com.cn/oidc1/jwks |
使用者資訊端點 Userinfo | 登入後,使用 | https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo |
退出端點 SLO | 使用者登出IDaaS主登入態。 | https://xxxxx.aliyunidaas.com.cn/oidc1/logout |