本文档介绍单点登录的通用说明。
若您希望实现单点登录(SSO),首先需要完成单点登录配置。
本篇文档说明以下通用的单点登录配置,每个应用均需选择:
单点登录状态
应用账户
授权范围
详细配置步骤,针对不同应用模板类型,请参考文档:
应用模板类型 | 协议 | 参考文档 |
应用市场预集成模板 | SAML 2.0 | |
标准协议-SAML | SAML 2.0 | |
标准协议-OIDC | OIDC | |
自研应用 | OIDC |
单点登录状态
应用开通后,所有功能均处于禁用状态。为了配置方便,前端会自动将单点登录状态变更到启用,您仍需要单击保存,状态才会真正变更。
关闭单点登录功能的应用,将不会显示在用户门户中。
应用账户
应用账户指的是用户在应用中的标识。当用户发起单点登录到应用时,IDaaS会将应用账户传递给应用,应用会将该账户调整为登录状态,从而实现单点登录。
因此,如果应用中有存量账户,请检查这些账户能否和IDaaS中的账户对应;如果无法对应,请提前为用户在应用中批量同步或手动创建账户。
对于SAML应用,您可以在应用中设置应用账户的规则,参考文档:SAML应用账户配置。
对于OIDC应用或自研应用,IDaaS会在id_tokn中传递相关的值,参考文档:OIDC id_token扩展值填写规范
授权范围
规范应用的可使用人群范围,有以下两个选项:
选项 | 说明 |
全员可访问 | 在IDaaS中的所有账户,均可访问该应用,无需额外授权。 |
手动授权 | 需要在应用的应用授权页签中,手动分配可访问应用的组织和账户。详情参考应用授权。 |