Identity as a Service：自研應用SSO配置

​

欄位

說明

舉例

基本配置（必填）

登入

Redirect URI

Redirect URI白名單。應用在請求登入時會攜帶 redirect_uri參數，該值需要在白名單中，IDaaS才會在認證完成後發起跳轉。

http://www.xxxx/oidc/sso

http://www.xxxx/oidc/sso2

授權範圍

請參考：單點登入通用說明。

選擇：全員可訪問

進階配置（選填）

使用者資訊範圍

scopes

使用者登入後，使用使用者資訊端點可以擷取到的已登入使用者資訊。

• openid

• email

• phone

• profile

多選：openid

多選：email

多選：profile

access_token

有效期間

access_token用於請求IDaaS介面。預設20分鐘，最小5分鐘，最大24小時，到期後需要使用refresh_token重新整理，或重新登入。

20分鐘

id_token

有效期間

id_token用於鑒別使用者身份，JWT格式，允許應用使用公開金鑰自行驗證使用者身份。到期後需要使用refresh_token重新整理，或重新登入。

id_token格式請參考：IDaaS中的各類 token。

10小時

refresh_token

有效期間

用於擷取新的access_token和id_token。refresh_token到期後，使用者需要重新登入。

30天

擴充id_token

欄位

可以通過擴充id_token中的payload欄位，將使用者的非敏感基本資料返回，以免需要反覆調用使用者資訊端點。注意：payload中添加的欄位公開可見，請按需使用。

-

SSO發起方

OIDC協議天然支援應用發起。

若選擇 支援門戶和應用發起，則必須填寫下個欄位：門戶登入發起地址。

支援門戶和應用發起

登入發起地址

IDaaS發起SSO請求時，訪問的應用地址。該地址接收到請求，應即刻發起/authorize授權連接埠請求。

http://www.xxxx/oidc/login

id_token簽名演算法

id_token簽名使用的非對稱演算法，當前僅支援RSA-SHA256演算法。

SHA256

登出回調地址

IDaaS登出後，回調的應用地址白名單。應用在發起SLO請求時可攜帶。

http://www.xxxx.com

欄位名

說明

樣本

Issuer

id_token中標記令牌來源的欄位。同時是下述介面的 baseUrl。

https://xxxxx.aliyunidaas.com/oidc1

發現端點

Discovery

用於擷取當前IDaaS支援的各端點資訊和支援的模式、參數資訊，可公開訪問。

https://xxxxx.aliyunidaas.com/oidc1/.well-known/openid-configuration

授權端點

Authorization

應用發起單點登入的地址。

https://xxxxx.aliyunidaas.com/oidc/authorize

令牌端點

token

應用在單點登入過程中，拿到授權碼code後，從後端發起換取token的介面地址。

https://xxxxx.aliyunidaas.com/oauth2/token

令牌吊銷端點

Revocation

將已生效的特定令牌登出掉。

https://xxxxx.aliyunidaas.com/oauth2/revoke

驗簽公開金鑰端點

JWKS

用於驗證id_token、完成 SSO流程的公開金鑰端點。公開金鑰可能會輪轉。

https://xxxxx.aliyunidaas.com/oidc1/slo

使用者資訊端點

Userinfo

登入後，使用access_token擷取使用者基本資料的端點。

https://xxxxx.aliyunidaas.com/oidc1/userinfo

退出端點

SLO

使用者登出IDaaS主登入態。

-