?

字段

說明

舉例

基本配置（必填）

登錄

Redirect URI

Redirect URI白名單。應(yīng)用在請求登錄時會攜帶 redirect_uri參數(shù)，該值需要在白名單中，IDaaS才會在認證完成后發(fā)起跳轉(zhuǎn)。

http://www.xxxx/oidc/sso

http://www.xxxx/oidc/sso2

授權(quán)范圍

請參考：單點登錄通用說明。

選擇：全員可訪問

高級配置（選填）

用戶信息范圍

scopes

用戶登錄后，使用用戶信息端點可以獲取到的已登錄用戶信息。

• openid

• email

• phone

• profile

多選：openid

多選：email

多選：profile

access_token

有效期

access_token用于請求IDaaS接口。默認20分鐘，最小5分鐘，最大24小時，過期后需要使用refresh_token刷新，或重新登錄。

20分鐘

id_token

有效期

id_token用于鑒別用戶身份，JWT格式，允許應(yīng)用使用公鑰自行驗證用戶身份。過期后需要使用refresh_token刷新，或重新登錄。

id_token格式請參考：IDaaS中的各類 token。

10小時

refresh_token

有效期

用于獲取新的access_token和id_token。refresh_token過期后，用戶需要重新登錄。

30天

擴展id_token

字段

可以通過擴展id_token中的payload字段，將用戶的非敏感基本信息返回，以免需要反復(fù)調(diào)用用戶信息端點。注意：payload中添加的字段公開可見，請按需使用。

-

SSO發(fā)起方

OIDC協(xié)議天然支持應(yīng)用發(fā)起。

若選擇 支持門戶和應(yīng)用發(fā)起，則必須填寫下個字段：門戶登錄發(fā)起地址。

支持門戶和應(yīng)用發(fā)起

登錄發(fā)起地址

IDaaS發(fā)起SSO請求時，訪問的應(yīng)用地址。該地址接收到請求，應(yīng)即刻發(fā)起/authorize授權(quán)端口請求。

http://www.xxxx/oidc/login

id_token簽名算法

id_token簽名使用的非對稱算法，當(dāng)前僅支持RSA-SHA256算法。

SHA256

登出回調(diào)地址

IDaaS登出后，回調(diào)的應(yīng)用地址白名單。應(yīng)用在發(fā)起SLO請求時可攜帶。

http://www.xxxx.com

字段名

說明

示例

Issuer

id_token中標(biāo)記令牌來源的字段。同時是下述接口的 baseUrl。

https://xxxxx.aliyunidaas.com/oidc1

發(fā)現(xiàn)端點

Discovery

用于獲取當(dāng)前IDaaS支持的各端點信息和支持的模式、參數(shù)信息，可公開訪問。

https://xxxxx.aliyunidaas.com/oidc1/.well-known/openid-configuration

授權(quán)端點

Authorization

應(yīng)用發(fā)起單點登錄的地址。

https://xxxxx.aliyunidaas.com/oidc/authorize

令牌端點

token

應(yīng)用在單點登錄過程中，拿到授權(quán)碼code后，從后端發(fā)起換取token的接口地址。

https://xxxxx.aliyunidaas.com/oauth2/token

令牌吊銷端點

Revocation

將已生效的特定令牌注銷掉。

https://xxxxx.aliyunidaas.com/oauth2/revoke

驗簽公鑰端點

JWKS

用于驗證id_token、完成 SSO流程的公鑰端點。公鑰可能會輪轉(zhuǎn)。

https://xxxxx.aliyunidaas.com/oidc1/slo

用戶信息端點

Userinfo

登錄后，使用access_token獲取用戶基本信息的端點。

https://xxxxx.aliyunidaas.com/oidc1/userinfo

退出端點

SLO

用戶注銷IDaaS主登錄態(tài)。

-