日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關(guān)鍵字查找
首頁 應(yīng)用身份服務(wù) (IDaaS) EIAM 云身份服務(wù) 操作指南 應(yīng)用 應(yīng)用管理 OIDC SSO 配置 OIDC SSO配置

OIDC SSO配置

更新時間:
產(chǎn)品詳情
我的收藏

當(dāng)前文檔以OIDC標(biāo)準(zhǔn)協(xié)議為例進行單點登錄配置說明。

說明

如您希望了解IDaaS中支持的SSO協(xié)議,請前往:2. 標(biāo)準(zhǔn)協(xié)議

IDaaSOIDC不同模式的支持

您可在如下模式中多選:

模式

支持說明

客戶端模式

client_credentials

IDaaS使用OIDC客戶端模式,允許應(yīng)用的client_id, client_secret來到 IDaaS換取服務(wù)端令牌,調(diào)用IDaaS應(yīng)用開放的Developer API。?

客戶端模式無需勾選,若應(yīng)用API開放啟用,則模式開啟。

授權(quán)碼模式

authorization_code

IDaaSOIDC應(yīng)用最普適的登錄模式。應(yīng)用將登錄委托給IDaaS,并解析 IDaaS返回的id_token,完成登錄校驗。

令牌刷新模式

refresh_token

支持使用refresh_tokenaccess_token進行刷新的模式,以延長會話有效時間。通常與授權(quán)碼模式一起使用。

設(shè)備模式

device

設(shè)備模式常用于非B/S架構(gòu)的應(yīng)用接入。當(dāng)設(shè)備不便于直接展示IDaaS登錄頁時,允許用戶使用瀏覽器輔助完成登錄流程。

常規(guī)的B/S網(wǎng)頁端企業(yè)應(yīng)用,我們建議您勾選授權(quán)碼及令牌刷新模式。

B/S應(yīng)用,建議勾選設(shè)備及令牌刷新模式。

說明

OIDC其他模式IDaaS暫不支持,如有需求,您可以提交需求給我們,我們會根據(jù)緊急性和重要性排期進行接入。

IDaaS側(cè)配置

?

字段

說明

舉例

基本配置(必填)

授權(quán)模式

為應(yīng)用選擇要使用的模式。

多選:授權(quán)碼模式

多選:令牌刷新模式

登錄

Redirect URIs

Redirect URI白名單。應(yīng)用在請求登錄時會攜帶redirect_uri參數(shù),該值需要在白名單中,IDaaS才會在認證完成后發(fā)起跳轉(zhuǎn)。

http://www.xxxx/oidc/sso

http://www.xxxx/oidc/sso2

授權(quán)范圍

請參考:單點登錄通用說明

選擇:全員可訪問

高級配置(選填)

用戶信息范圍

scopes

用戶登錄后,使用用戶信息端點可以獲取到的已登錄用戶信息。

  • openid

  • email

  • phone

  • profile

多選:openid

多選:email

多選:profile

PKCE

授權(quán)模式中勾選授權(quán)碼模式時可選。啟用后,授權(quán)碼模式會使用更安全的PKCE擴展流程。

默認不勾選

Code Challenge

生成方式

開啟PKCE后可選。PKCE擴展中Code Challenge的生成方式。若未勾選開啟 PKCE,則不會顯示。

-

access_token

有效期

access_token用于請求IDaaS接口。默認2小時有效。過期后需要使用 refresh_token刷新,或重新登錄。

2小時

id_token

有效期

id_token用于鑒別用戶身份,JWT 格式,允許應(yīng)用使用公鑰自行驗證用戶身份。過期后需要使用refresh_token刷新,或重新登錄。

10小時

refresh_token

有效期

用于獲取新的access_tokenid_tokenrefresh_token過期后,用戶需要重新登錄。

30

擴展id_token

字段

可以通過擴展id_token中的payload字段,將用戶的非敏感基本信息返回,以免需要反復(fù)調(diào)用用戶信息端點。參考OIDC id_token擴展值填寫規(guī)范

說明

payload中添加的字段公開可見,請按需使用。

-

id_token

簽名算法

id_token簽名使用的非對稱算法,當(dāng)前僅支持RSA-SHA256算法。

RSA-SHA256

SSO發(fā)起方

用戶訪問由應(yīng)用發(fā)起,還是支持門戶發(fā)起

只允許應(yīng)用發(fā)起

登錄發(fā)起地址

SSO發(fā)起方設(shè)置為支持門戶和應(yīng)用發(fā)起,可填寫登錄發(fā)起地址,即IDaaS發(fā)起 SSO請求訪問的應(yīng)用地址。該地址接收到請求,應(yīng)即刻轉(zhuǎn)向IDaaS/authorize授權(quán)端口。

-

應(yīng)用側(cè)配置

OIDC協(xié)議允許應(yīng)用側(cè)通過一系列IDaaS開放的標(biāo)準(zhǔn)接口,完成登錄認證整套流程。?

開放的接口說明如下:

字段名

說明

示例

Issuer

id_token中標(biāo)記令牌來源的字段。同時是下述接口的baseUrl。

https://xxxxx.aliyunidaas.com.cn/oidc1

發(fā)現(xiàn)端點

Discovery

用于獲取當(dāng)前IDaaS支持的各端點信息和支持的模式、參數(shù)信息,可公開訪問。

https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration

授權(quán)端點

Authorization

應(yīng)用發(fā)起單點登錄的地址。

https://xxxxx.aliyunidaas.com.cn/oidc/authorize

令牌端點

token

應(yīng)用在單點登錄過程中,拿到授權(quán)碼 code后,從后端發(fā)起調(diào)用token接口。

https://xxxxx.aliyunidaas.com.cn/oidc/token

驗簽公鑰端點

JWKS

用于驗證id_token、完成SSO流程的公鑰端點。公鑰暫不支持輪轉(zhuǎn)。

https://xxxxx.aliyunidaas.com.cn/oidc1/jwks

用戶信息端點

Userinfo

登錄后,使用access_token獲取用戶基本信息的端點。

https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo

退出端點

SLO

用戶注銷IDaaS主登錄態(tài)。

https://xxxxx.aliyunidaas.com.cn/oidc1/logout