本文介紹使用企業(yè)級身份提供方Okta、通過OIDC協(xié)議登錄到IDaaS EIAM用戶門戶的配置方式。

第一步：開始綁定流程

1、進(jìn)入IDaaS EIAM實例，在身份提供方菜單中單擊其他身份提供方-OIDC身份提供方，開始綁定流程。

2、填寫顯示名稱，認(rèn)證模式選擇任意一個均可。PKCE是額外的安全驗證，您可以選擇性勾選，Okta PKCE的Code Challenge生成方式僅支持SHA256。

3、在表單最下方復(fù)制IDaaS 授權(quán)回調(diào) Redirect URI。Okta將向該地址發(fā)送認(rèn)證請求和ID token。

第二步：創(chuàng)建Okta應(yīng)用

1、在Okta中登錄管理門戶（admin）。

2、在應(yīng)用（Applications）菜單中，單擊創(chuàng)建應(yīng)用集成（Create App Integration）。

3、單點登錄方式（Sign-in method）選擇OIDC-OpenID Connect，應(yīng)用類型（Application type）選擇網(wǎng)頁應(yīng)用（Web Application）。

4、修改應(yīng)用名稱（App integration name ）。

5、在登錄重定向地址（Sign-in redirect URIs）中，填入第一步中復(fù)制的IDaaS 授權(quán)回調(diào) Redirect URI。

6、在訪問控制（Controlled access）中設(shè)置應(yīng)用的訪問權(quán)限，如果用于測試或無特殊的管控需求，可選擇所有人均可訪問（Allow everyone in your organization to access）。如果選擇其他選項，則需要為用戶或組授權(quán)。

7、確認(rèn)無誤后，單擊保存（Save）。保存后將自動進(jìn)入應(yīng)用詳情頁。

第三步：填寫OIDC身份提供方信息

1、您需要在Okta應(yīng)用詳情頁中獲取如下信息，填入到綁定 OIDC 身份提供方表單中。

• Client ID：在通用（General）選項卡中，單擊復(fù)制Client ID，填寫到IDaaS表單中。如果在第一步中勾選了PKCE，則需要在Okta中勾選Require PKCE as additional verification。

• Client Secret：依然在通用（General）選項卡中，單擊復(fù)制Client Secret，填寫到IDaaS表單中。

• Issuer：在登錄（Sign On）選項卡中，下滑找到OpenID Connect ID Token，單擊編輯（Edit），將Issuer修改為Okta URL，并復(fù)制該地址，填寫到IDaaS表單中。

2、在IDaaS表單中單擊解析Issuer，即可自動填充各端點信息。

3、確認(rèn)無誤后，單擊下一步，進(jìn)入選擇場景流程，具體配置請參考選擇場景。

用戶登錄流程

以下展示Okta用戶的登錄流程。

1、用戶訪問IDaaS EIAM用戶門戶時，可見到該登錄方式。

2、單擊登錄方式后，將前往Okta進(jìn)行驗證。如果Okta賬號未登錄，則出現(xiàn)登錄頁面；如果已登錄，則重定向至IDaaS。

3、如果該Okta賬號已綁定IDaaS賬戶，則可直接登錄IDaaS賬戶；如果未綁定IDaaS賬戶，會有優(yōu)先進(jìn)行自動綁定，自定綁定失敗則需要您進(jìn)行手動綁定或者自動創(chuàng)建賬戶，綁定邏輯請參考選擇場景。