第一步：開始綁定流程

1、進入IDaaS EIAM實例，在身份提供方菜單中單擊其他身份提供方-OIDC身份提供方，開始綁定流程。

2、填寫顯示名稱，認證模式選擇任意一個均可。PKCE是額外的安全驗證，您可以選擇性勾選。

3、根據您的需求選擇對應的Scopes信息。如您需要拉取郵箱字段則email需勾選。

4、在表單最下方復制IDaaS 授權回調 Redirect URI。Azure AD將向該地址發送認證請求和ID token。

第二步：創建Azure AD應用

1、在Microsoft門戶創建一個Azure賬號。

進入Azure Active Directory管理中心，單擊管理Azure Active Directory下的查看 > 應用注冊：

在應用注冊頁面，單擊新注冊。

2、創建新的應用程序

在注冊應用程序頁面輸入名稱，受支持的賬戶類型需選擇任何組織目錄，重定向URI選擇Web。單擊注冊，即可創建一個新的應用程序。如下圖，定義該應用名稱為IDaaS。

重定向URI為上面第一步添加OIDC身份提供方時，步驟3中獲取的IDaaS 授權回調 Redirect URI。

3、完成新應用程序基本配置

（1）創建新應用程序后，默認進入概述頁面。您可以在應用注冊 > 所有應用程序下查看您所創建的應用程序。

（2）添加客戶端憑據：

（3）進入添加可選聲明頁面，添加組聲明。添加完畢之后，會產生一個groups記錄。

同時分別對令牌類型ID與訪問選擇圖示聲明，使登錄的客戶端能夠拿到相關令牌數據。

（4）添加API的作用域。進入公開 API，分別添加作用域User.Read、User.Read.All、GroupMember.Read.All、Group.Read.All。單擊添加范圍，為當前這個應用客戶端公開圖示四個權限：

（5）繼上一步添加完畢四個作用域后，為客戶端應用程序添加授權。進入API 權限：

• 再選擇應用需要對應的權限：

需代表當前租戶管理員同意授權：

4、獲取應用的OIDC協議端點訪問地址信息

在應用注冊 > 終結點，OIDC客戶端配置中的Issuer取值通過訪問OpenID Connect 元數據文檔獲?。?/p>

https://login.microsoftonline.com/common/v2.0

至此，三項關鍵配置信息已獲取完畢。

第三步：填寫OIDC身份提供方信息

1、您需要在Azure AD應用概述頁中獲取如下信息，填入到綁定 OIDC 身份提供方表單中。

• Client ID：在概述選項卡中，單擊復制應用程序(客戶端) ID，填寫到IDaaS表單中。

• Client Secret：依然在概述選項卡中，單擊客戶端憑據，跳轉到證書和密碼進行客戶端密碼添加，將添加的密碼值填寫到IDaaS表單中。

• Issuer：在概述選項卡中，通過訪問終結點-OpenID Connect 元數據文檔，獲取Issuer的地址，并復制該地址，填寫到IDaaS表單中。

2、在IDaaS表單中單擊解析Issuer，即可自動填充各端點信息。

3、確認無誤后，單擊下一步，進入選擇場景流程，具體配置請參考選擇場景。

用戶登錄流程

以下展示Azure AD用戶的登錄流程。

1、用戶訪問IDaaS EIAM用戶門戶時，可見到該登錄方式。

2、單擊登錄方式后，將前往Azure AD進行驗證。如果Azure AD賬號未登錄，則出現登錄頁面；如果已登錄，則重定向至IDaaS。

3、如果該Azure AD賬號已綁定IDaaS賬戶，則可直接登錄IDaaS賬戶；如果未綁定IDaaS賬戶，會有優先進行自動綁定，自定綁定失敗則需要您進行手動綁定或者自動創建賬戶選擇場景。