当前文档以OIDC标准协议为例进行单点登录配置说明。
如您希望了解IDaaS中支持的SSO协议,请前往:2. 标准协议。
IDaaS对OIDC不同模式的支持
您可在如下模式中多选:
模式 | 支持说明 |
客户端模式 client_credentials | IDaaS使用OIDC客户端模式,允许应用的 客户端模式无需勾选,若应用API开放启用,则模式开启。 |
授权码模式 authorization_code | IDaaS中OIDC应用最普适的登录模式。应用将登录委托给IDaaS,并解析 IDaaS返回的 |
令牌刷新模式 refresh_token | 支持使用 |
设备模式 device | 设备模式常用于非B/S架构的应用接入。当设备不便于直接展示IDaaS登录页时,允许用户使用浏览器辅助完成登录流程。 |
常规的B/S网页端企业应用,我们建议您勾选授权码及令牌刷新模式。
非B/S应用,建议勾选设备及令牌刷新模式。
OIDC其他模式IDaaS暂不支持,如有需求,您可以提交需求给我们,我们会根据紧急性和重要性排期进行接入。
IDaaS侧配置
| 字段 | 说明 | 举例 |
基本配置(必填) | 授权模式 | 为应用选择要使用的模式。 | 多选:授权码模式 多选:令牌刷新模式 |
登录 Redirect URIs | Redirect URI白名单。应用在请求登录时会携带 | http://www.xxxx/oidc/sso http://www.xxxx/oidc/sso2 | |
授权范围 | 请参考:单点登录通用说明。 | 选择:全员可访问 | |
高级配置(选填) | 用户信息范围 scopes | 用户登录后,使用用户信息端点可以获取到的已登录用户信息。
| 多选:openid 多选:email 多选:profile |
PKCE | 授权模式中勾选授权码模式时可选。启用后,授权码模式会使用更安全的PKCE扩展流程。 | 默认不勾选 | |
Code Challenge 生成方式 | 开启PKCE后可选。PKCE扩展中Code Challenge的生成方式。若未勾选开启 PKCE,则不会显示。 | - | |
access_token 有效期 |
| 2小时 | |
id_token 有效期 |
| 10小时 | |
refresh_token 有效期 | 用于获取新的 | 30天 | |
扩展id_token 字段 | 可以通过扩展 说明 payload中添加的字段公开可见,请按需使用。 | - | |
id_token 签名算法 |
| RSA-SHA256 | |
SSO发起方 | 用户访问由应用发起,还是支持门户发起 | 只允许应用发起 | |
登录发起地址 | 若SSO发起方设置为支持门户和应用发起,可填写登录发起地址,即IDaaS发起 SSO请求访问的应用地址。该地址接收到请求,应即刻转向IDaaS/authorize授权端口。 | - |
应用侧配置
OIDC协议允许应用侧通过一系列IDaaS开放的标准接口,完成登录认证整套流程。
开放的接口说明如下:
字段名 | 说明 | 示例 |
Issuer |
| https://xxxxx.aliyunidaas.com.cn/oidc1 |
发现端点 Discovery | 用于获取当前IDaaS支持的各端点信息和支持的模式、参数信息,可公开访问。 | https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration |
授权端点 Authorization | 应用发起单点登录的地址。 | https://xxxxx.aliyunidaas.com.cn/oidc/authorize |
令牌端点 token | 应用在单点登录过程中,拿到授权码 | https://xxxxx.aliyunidaas.com.cn/oidc/token |
验签公钥端点 JWKS | 用于验证 | https://xxxxx.aliyunidaas.com.cn/oidc1/jwks |
用户信息端点 Userinfo | 登录后,使用 | https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo |
退出端点 SLO | 用户注销IDaaS主登录态。 | https://xxxxx.aliyunidaas.com.cn/oidc1/logout |