全部產品
Search
文件中心

Identity as a Service:OIDC SSO配置

更新時間:Sep 19, 2024

當前文檔以OIDC標準協議為例進行單點登入配置說明。

說明

如您希望瞭解IDaaS中支援的SSO協議,請前往:2.標準協議

IDaaS對OIDC不同模式的支援

您可在如下模式中多選:

模式

支援說明

用戶端模式

client_credentials

IDaaS使用OIDC用戶端模式,允許應用的client_id, client_secret來到 IDaaS換取服務端令牌,調用IDaaS應用開放的Developer API。​

用戶端模式無需勾選,若應用API開放啟用,則模式開啟。

授權碼模式

authorization_code

IDaaS中OIDC應用最普適的登入模式。應用將登入委託給IDaaS,並解析 IDaaS返回的id_token,完成登入校正。

令牌重新整理模式

refresh_token

支援使用refresh_tokenaccess_token進行重新整理的模式,以延長會話有效時間。通常與授權碼模式一起使用。

裝置模式

device

裝置模式常用於非B/S架構的應用接入。當裝置不便於直接展示IDaaS登入頁時,允許使用者使用瀏覽器輔助完成登入流程。

常規的B/S網頁端公司專屬應用程式,我們建議您勾選授權碼及令牌重新整理模式。

非B/S應用,建議勾選裝置及令牌重新整理模式。

說明

OIDC其他模式IDaaS暫不支援,如有需求,您可以提交需求給我們,我們會根據緊急性和重要性排期進行接入。

IDaaS側配置

欄位

說明

舉例

基本配置(必填)

授權模式

為應用選擇要使用的模式。

多選:授權碼模式

多選:令牌重新整理模式

登入

Redirect URIs

Redirect URI白名單。應用在請求登入時會攜帶redirect_uri參數,該值需要在白名單中,IDaaS才會在認證完成後發起跳轉。

http://www.xxxx/oidc/sso

http://www.xxxx/oidc/sso2

授權範圍

請參考:單點登入通用說明

選擇:全員可訪問

進階配置(選填)

使用者資訊範圍

scopes

使用者登入後,使用使用者資訊端點可以擷取到的已登入使用者資訊。

  • openid

  • email

  • phone

  • profile

多選:openid

多選:email

多選:profile

PKCE

授權模式中勾選授權碼模式時可選。啟用後,授權碼模式會使用更安全的PKCE擴充流程。

預設不勾選

Code Challenge

產生方式

開啟PKCE後可選。PKCE擴充中Code Challenge的產生方式。若未勾選開啟 PKCE,則不會顯示。

-

access_token

有效期間

access_token用於請求IDaaS介面。預設2小時有效。到期後需要使用 refresh_token重新整理,或重新登入。

2小時

id_token

有效期間

id_token用於鑒別使用者身份,JWT 格式,允許應用使用公開金鑰自行驗證使用者身份。到期後需要使用refresh_token重新整理,或重新登入。

10小時

refresh_token

有效期間

用於擷取新的access_tokenid_tokenrefresh_token到期後,使用者需要重新登入。

30天

擴充id_token

欄位

可以通過擴充id_token中的payload欄位,將使用者的非敏感基本資料返回,以免需要反覆調用使用者資訊端點。參考OIDC id_token擴充值填寫規範

說明

payload中添加的欄位公開可見,請按需使用。

-

id_token

簽名演算法

id_token簽名使用的非對稱演算法,當前僅支援RSA-SHA256演算法。

RSA-SHA256

SSO發起方

使用者訪問由應用發起,還是支援門戶發起

只允許應用發起

登入發起地址

若SSO發起方設定為支援門戶和應用發起,可填寫登入發起地址,即IDaaS發起 SSO請求訪問的應用地址。該地址接收到請求,應即刻轉向IDaaS/authorize授權連接埠。

-

應用側配置

OIDC協議允許應用側通過一系列IDaaS開放的標準介面,完成登入認證整套流程。​

開放的介面說明如下:

欄位名

說明

樣本

Issuer

id_token中標記令牌來源的欄位。同時是下述介面的baseUrl。

https://xxxxx.aliyunidaas.com.cn/oidc1

發現端點

Discovery

用於擷取當前IDaaS支援的各端點資訊和支援的模式、參數資訊,可公開訪問。

https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration

授權端點

Authorization

應用發起單點登入的地址。

https://xxxxx.aliyunidaas.com.cn/oidc/authorize

令牌端點

token

應用在單點登入過程中,拿到授權碼 code後,從後端發起調用token介面。

https://xxxxx.aliyunidaas.com.cn/oidc/token

驗簽公開金鑰端點

JWKS

用於驗證id_token、完成SSO流程的公開金鑰端點。公開金鑰暫不支援輪轉。

https://xxxxx.aliyunidaas.com.cn/oidc1/jwks

使用者資訊端點

Userinfo

登入後,使用access_token擷取使用者基本資料的端點。

https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo

退出端點

SLO

使用者登出IDaaS主登入態。

https://xxxxx.aliyunidaas.com.cn/oidc1/logout