全部產品
Search
文件中心

Identity as a Service:自研應用SSO配置

更新時間:Sep 19, 2024

IDaaS支援企業自研應用接入,實現單點登入。​

為了應用接入的簡易型和安全性,自研應用接入需要通過OIDC授權碼模式。為了簡化理解、便於上手,IDaaS對配置項進行了極大程度的簡化。

IDaaS側配置

在IDaaS側,僅需將應用處理單點登入請求的地址填寫到 登入Redirect URIs中,其他選項保持預設,即可完成基本配置。

欄位

說明

舉例

基本配置(必填)

登入

Redirect URI

Redirect URI白名單。應用在請求登入時會攜帶 redirect_uri參數,該值需要在白名單中,IDaaS才會在認證完成後發起跳轉。

http://www.xxxx/oidc/sso

http://www.xxxx/oidc/sso2

授權範圍

請參考:單點登入通用說明

選擇:全員可訪問

進階配置(選填)

使用者資訊範圍

scopes

使用者登入後,使用使用者資訊端點可以擷取到的已登入使用者資訊。

  • openid

  • email

  • phone

  • profile

多選:openid

多選:email

多選:profile

access_token

有效期間

access_token用於請求IDaaS介面。預設20分鐘,最小5分鐘,最大24小時,到期後需要使用refresh_token重新整理,或重新登入。

20分鐘

id_token

有效期間

id_token用於鑒別使用者身份,JWT格式,允許應用使用公開金鑰自行驗證使用者身份。到期後需要使用refresh_token重新整理,或重新登入。

id_token格式請參考:IDaaS中的各類 token

10小時

refresh_token

有效期間

用於擷取新的access_tokenid_tokenrefresh_token到期後,使用者需要重新登入。

30天

擴充id_token

欄位

可以通過擴充id_token中的payload欄位,將使用者的非敏感基本資料返回,以免需要反覆調用使用者資訊端點。注意:payload中添加的欄位公開可見,請按需使用。

-

SSO發起方

OIDC協議天然支援應用發起。

若選擇 支援門戶和應用發起,則必須填寫下個欄位:門戶登入發起地址。

支援門戶和應用發起

登入發起地址

IDaaS發起SSO請求時,訪問的應用地址。該地址接收到請求,應即刻發起/authorize授權連接埠請求。

http://www.xxxx/oidc/login

id_token簽名演算法

id_token簽名使用的非對稱演算法,當前僅支援RSA-SHA256演算法。

SHA256

登出回調地址

IDaaS登出後,回調的應用地址白名單。應用在發起SLO請求時可攜帶。

http://www.xxxx.com

應用側配置

OIDC協議允許應用側通過一系列IDaaS開放的標準介面,完成登入認證整套流程。​

開放的介面說明如下:

欄位名

說明

樣本

Issuer

id_token中標記令牌來源的欄位。同時是下述介面的 baseUrl。

https://xxxxx.aliyunidaas.com/oidc1

發現端點

Discovery

用於擷取當前IDaaS支援的各端點資訊和支援的模式、參數資訊,可公開訪問。

https://xxxxx.aliyunidaas.com/oidc1/.well-known/openid-configuration

授權端點

Authorization

應用發起單點登入的地址。

https://xxxxx.aliyunidaas.com/oidc/authorize

令牌端點

token

應用在單點登入過程中,拿到授權碼code後,從後端發起換取token的介面地址。

https://xxxxx.aliyunidaas.com/oauth2/token

令牌吊銷端點

Revocation

將已生效的特定令牌登出掉。

https://xxxxx.aliyunidaas.com/oauth2/revoke

驗簽公開金鑰端點

JWKS

用於驗證id_token、完成 SSO流程的公開金鑰端點。公開金鑰可能會輪轉。

https://xxxxx.aliyunidaas.com/oidc1/slo

使用者資訊端點

Userinfo

登入後,使用access_token擷取使用者基本資料的端點。

https://xxxxx.aliyunidaas.com/oidc1/userinfo

退出端點

SLO

使用者登出IDaaS主登入態。

-

對接詳情請參考文檔:自研應用接入SSO