基本概念

通過綁定OIDC身份提供方，您可以使用Okta、Azure AD、自研系統(tǒng)等賬號登錄IDaaS EIAM。

綁定通用的OIDC身份提供方

IDaaS EIAM采用標(biāo)準(zhǔn)的OIDC授權(quán)碼模式實(shí)現(xiàn)聯(lián)邦認(rèn)證，因此理論上只要您的身份提供方（如Okta、Azure AD、自研系統(tǒng)）支持標(biāo)準(zhǔn)的OIDC授權(quán)碼模式的單點(diǎn)登錄，即可作為IDaaS EIAM的身份提供方，使用其中的賬號登錄到IDaaS EIAM。

在綁定通用的OIDC身份提供方時(shí)，本質(zhì)上是IDaaS和身份提供方相建立信任的過程。您需要在兩邊獲取和填寫配置信息。

第一步：填寫基本配置

在IDaaS中獲取配置

1、進(jìn)入IDaaS EIAM實(shí)例，在身份提供方菜單中單擊其他身份提供方-OIDC身份提供方，開始綁定流程。

2、在表單最下方復(fù)制IDaaS授權(quán)回調(diào)Redirect URI，在第二步中填入到您的身份提供方，該地址用于發(fā)送認(rèn)證請求和id token。

在身份提供方獲取配置

1、您需要在您的身份提供方中創(chuàng)建一個(gè)支持OIDC協(xié)議的應(yīng)用，將第一步復(fù)制的IDaaS授權(quán)回調(diào)Redirect URI作為應(yīng)用的重定向地址。

2、您需要獲取下列信息，填寫到IDaaS EIAM的表單中。

• Client ID：向 IDaaS EIAM 發(fā)起請求的標(biāo)識信息，即您的身份提供方中應(yīng)用的標(biāo)識。

• Client Secret：向 IDaaS EIAM 發(fā)起請求的密鑰信息，即您的身份提供方中應(yīng)用的密鑰。

• Issuer：OIDC Issuer 發(fā)現(xiàn)端點(diǎn)。

3、在IDaaS表單中單擊解析，即可自動(dòng)填充各端點(diǎn)信息。

4、確認(rèn)無誤后，單擊下一步，進(jìn)入選擇場景流程。

第二步：選擇場景

在選擇場景中，您可以選擇需要使用的能力。

• 聯(lián)邦認(rèn)證：開啟后，用戶可以使用OIDC登錄方式登錄到IDaaS。

• 手動(dòng)綁定賬戶：開啟后，用戶使用OIDC登錄IDaaS時(shí)，如果當(dāng)前OIDC賬戶未綁定IDaaS賬戶，可手動(dòng)使用其他登錄方式驗(yàn)證IDaaS賬戶。綁定成功后，之后可使用該 OIDC賬戶登錄IDaaS。

• 自動(dòng)綁定賬戶：開啟后，用戶使用OIDC登錄IDaaS時(shí)，如果當(dāng)前OIDC賬戶未綁定IDaaS賬戶，且IDaaS字段與OIDC賬戶字段的值相同，則自動(dòng)綁定賬戶。您可以使用選擇字段，直接選擇id_token里的某個(gè)字段，也可以使用表達(dá)式自定義字段（詳情參考高級：賬戶字段表達(dá)式）。綁定成功后，之后可使用該OIDC賬戶登錄 IDaaS。

• 自動(dòng)創(chuàng)建賬戶：通過OIDC登錄時(shí)，如果OIDC賬戶未綁定IDaaS賬戶，可自動(dòng)創(chuàng)建IDaaS賬戶。每次通過OIDC登錄都將更新賬戶信息。

• 指定賬戶的組織： 通過OIDC登錄時(shí)，沒有所屬組織的IDaaS賬戶將自動(dòng)歸屬于該組織。該字段在配置時(shí)默認(rèn)選擇根組織，您可搜索或下拉選擇組織。

• 自動(dòng)更新信息：用戶使用OIDC登錄時(shí)，根據(jù)字段映射自動(dòng)更新IDaaS賬戶信息。

確認(rèn)無誤后，單擊確定，即可創(chuàng)建OIDC身份提供方。

第三步：字段映射（可選）

開啟自動(dòng)創(chuàng)建賬戶后，用戶通過OIDC登錄時(shí)可以使用id_token中的字段數(shù)據(jù)作為IDaaS賬戶的字段值，實(shí)現(xiàn)IDaaS賬戶字段值的自動(dòng)修改。例如將id_token中的 name作為IDaaS賬戶的顯示名。

如果OIDC無綁定關(guān)系且無法自動(dòng)綁定，用戶登錄流程出現(xiàn)選擇彈窗，由用戶選擇手動(dòng)綁定或者手動(dòng)創(chuàng)建。