IDaaS支援企業自研應用接入,實現單點登入。
為了應用接入的簡易型和安全性,自研應用接入需要通過OIDC授權碼模式。為了簡化理解、便於上手,IDaaS對配置項進行了極大程度的簡化。
IDaaS側配置
在IDaaS側,僅需將應用處理單點登入請求的地址填寫到 登入Redirect URIs中,其他選項保持預設,即可完成基本配置。
| 欄位 | 說明 | 舉例 |
基本配置(必填) | 登入 Redirect URI | Redirect URI白名單。應用在請求登入時會攜帶 | http://www.xxxx/oidc/sso http://www.xxxx/oidc/sso2 |
授權範圍 | 請參考:單點登入通用說明。 | 選擇:全員可訪問 | |
進階配置(選填) | 使用者資訊範圍 scopes | 使用者登入後,使用使用者資訊端點可以擷取到的已登入使用者資訊。
| 多選:openid 多選:email 多選:profile |
access_token 有效期間 |
| 20分鐘 | |
id_token 有效期間 |
| 10小時 | |
refresh_token 有效期間 | 用於擷取新的 | 30天 | |
擴充id_token 欄位 | 可以通過擴充 | - | |
SSO發起方 | OIDC協議天然支援應用發起。 若選擇 | 支援門戶和應用發起 | |
登入發起地址 | IDaaS發起SSO請求時,訪問的應用地址。該地址接收到請求,應即刻發起/authorize授權連接埠請求。 | http://www.xxxx/oidc/login | |
id_token簽名演算法 |
| SHA256 | |
登出回調地址 | IDaaS登出後,回調的應用地址白名單。應用在發起SLO請求時可攜帶。 | http://www.xxxx.com |
應用側配置
OIDC協議允許應用側通過一系列IDaaS開放的標準介面,完成登入認證整套流程。
開放的介面說明如下:
欄位名 | 說明 | 樣本 |
Issuer |
| https://xxxxx.aliyunidaas.com/oidc1 |
發現端點 Discovery | 用於擷取當前IDaaS支援的各端點資訊和支援的模式、參數資訊,可公開訪問。 | https://xxxxx.aliyunidaas.com/oidc1/.well-known/openid-configuration |
授權端點 Authorization | 應用發起單點登入的地址。 | https://xxxxx.aliyunidaas.com/oidc/authorize |
令牌端點 token | 應用在單點登入過程中,拿到授權碼 | https://xxxxx.aliyunidaas.com/oauth2/token |
令牌吊銷端點 Revocation | 將已生效的特定令牌登出掉。 | https://xxxxx.aliyunidaas.com/oauth2/revoke |
驗簽公開金鑰端點 JWKS | 用於驗證 | https://xxxxx.aliyunidaas.com/oidc1/slo |
使用者資訊端點 Userinfo | 登入後,使用 | https://xxxxx.aliyunidaas.com/oidc1/userinfo |
退出端點 SLO | 使用者登出IDaaS主登入態。 | - |
對接詳情請參考文檔:自研應用接入SSO。