应用身份服务：自研应用SSO配置

​

字段

说明

举例

基本配置（必填）

登录

Redirect URI

Redirect URI白名单。应用在请求登录时会携带 redirect_uri参数，该值需要在白名单中，IDaaS才会在认证完成后发起跳转。

http://www.xxxx/oidc/sso

http://www.xxxx/oidc/sso2

授权范围

请参考：单点登录通用说明。

选择：全员可访问

高级配置（选填）

用户信息范围

scopes

用户登录后，使用用户信息端点可以获取到的已登录用户信息。

• openid

• email

• phone

• profile

多选：openid

多选：email

多选：profile

access_token

有效期

access_token用于请求IDaaS接口。默认20分钟，最小5分钟，最大24小时，过期后需要使用refresh_token刷新，或重新登录。

20分钟

id_token

有效期

id_token用于鉴别用户身份，JWT格式，允许应用使用公钥自行验证用户身份。过期后需要使用refresh_token刷新，或重新登录。

id_token格式请参考：IDaaS中的各类 token。

10小时

refresh_token

有效期

用于获取新的access_token和id_token。refresh_token过期后，用户需要重新登录。

30天

扩展id_token

字段

可以通过扩展id_token中的payload字段，将用户的非敏感基本信息返回，以免需要反复调用用户信息端点。注意：payload中添加的字段公开可见，请按需使用。

-

SSO发起方

OIDC协议天然支持应用发起。

若选择 支持门户和应用发起，则必须填写下个字段：门户登录发起地址。

支持门户和应用发起

登录发起地址

IDaaS发起SSO请求时，访问的应用地址。该地址接收到请求，应即刻发起/authorize授权端口请求。

http://www.xxxx/oidc/login

id_token签名算法

id_token签名使用的非对称算法，当前仅支持RSA-SHA256算法。

SHA256

登出回调地址

IDaaS登出后，回调的应用地址白名单。应用在发起SLO请求时可携带。

http://www.xxxx.com

字段名

说明

示例

Issuer

id_token中标记令牌来源的字段。同时是下述接口的 baseUrl。

https://xxxxx.aliyunidaas.com/oidc1

发现端点

Discovery

用于获取当前IDaaS支持的各端点信息和支持的模式、参数信息，可公开访问。

https://xxxxx.aliyunidaas.com/oidc1/.well-known/openid-configuration

授权端点

Authorization

应用发起单点登录的地址。

https://xxxxx.aliyunidaas.com/oidc/authorize

令牌端点

token

应用在单点登录过程中，拿到授权码code后，从后端发起换取token的接口地址。

https://xxxxx.aliyunidaas.com/oauth2/token

令牌吊销端点

Revocation

将已生效的特定令牌注销掉。

https://xxxxx.aliyunidaas.com/oauth2/revoke

验签公钥端点

JWKS

用于验证id_token、完成 SSO流程的公钥端点。公钥可能会轮转。

https://xxxxx.aliyunidaas.com/oidc1/slo

用户信息端点

Userinfo

登录后，使用access_token获取用户基本信息的端点。

https://xxxxx.aliyunidaas.com/oidc1/userinfo

退出端点

SLO

用户注销IDaaS主登录态。

-