本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
本文介紹了魔筆的身份源相關功能。
身份源說明
身份源用于集成已有的賬號體系,被集成的賬號體系內的用戶可以訪問魔筆搭建的應用。
每個身份源會配置一個默認權限組,通過該身份源登錄時會自動將用戶映射到默認權限組。
默認身份源
魔筆平臺目前內置了兩種身份源:阿里云賬號登錄(關聯默認權限組 END_USER )、測試賬號登錄(關聯默認權限組 TEST_USER )。默認身份源無法進行操作(創建、編輯、停用和刪除)。
阿里云賬號登錄:通過阿里云的 RAM 賬號登錄,有關 RAM 登錄的相關信息,可以參考什么是訪問控制。
測試賬號登錄:登錄界面選擇測試賬號后使用測試賬號和密碼登錄。
OIDC 身份源
魔筆平臺目前支持添加一個 OIDC 身份源。添加 OIDC 身份源后,在訪問魔筆搭建的應用時會增加對應的 OIDC 身份源的登錄選項。有關 OIDC 協議內容,可以參考OIDC 協議。
Native 身份源
魔筆平臺為用戶提供基于阿里云 OpenAPI 接口的 Native 身份源認證方式,開發者可以通過調用魔筆平臺的 OpenAPI 完成用戶登錄及相應的 Token 頒發過程。 Native 身份源適用于客戶端場景或被集成場景(宿主應用已經有登錄態,并且希望通過 API 調用同步登錄態到魔筆應用)。
魔筆 SDK 集成可參考 Android SDK 集成 和 iOS SDK 集成。
Native 身份認證流程
開發者可以通過魔筆 GenerateNativeUserToken - 生成 Native 身份源 Token 接口完成 Native 身份源認證,認證流程如下所示。
在認證過程中,魔筆會根據調用 OpenAPI 接口的阿里云 ID 校驗對應的空間權限,校驗通過后會進行 Native 身份源校驗。為了正確完成 Native 身份源認證,開發者需要在魔筆平臺正確配置 Native 身份源信息并啟用。
Native 身份源關聯的用戶受到權限組的權限管控,開發者可在權限管理中配置具體的訪問內容。
維持 Token 有效性
魔筆為開發者提供了 GenerateNativeUserToken - 生成 Native 身份源 Token 和 RefreshNativeUserToken - 刷新 Native 身份源 Token 兩個 OpenAPI,分別用于生成訪問魔筆服務的 Token 和刷新 Token。開發者在集成過程中,需要定時調用刷新 Token 接口完成刷新,避免 Token 失效。
調用 RefreshNativeUserToken 接口參數需要 GenerateNativeUserToken 返回的參數,請確保在調用 RefreshNativeUserToken 接口之前完成 GenerateNativeUserToken 接口的調用。
OIDC/Native 身份源配置
在身份源頁,開發者可以添加一個 OIDC 身份源和一個 Native 身份源。添加后可以對身份源進行啟用、停用、編輯和刪除操作。新增身份源并進行配置的流程如下:
基礎配置:點擊添加身份源后,會顯示新增身份源的彈窗,在基礎配置中需要完成別名、顯示名、類型和描述的配置,并選擇啟用狀態。
OIDC 配置:如果選擇的類型是 OIDC 身份源,那么在點擊下一步后,會進行 OIDC 配置,開發者需要根據 OIDC 協議填寫這些參數,如果選擇的類型是 Native 身份源,則跳過這一步。
權限映射:如果選擇的類型是 OIDC 身份源,在這一步中需要進行屬性映射的配置和權限組的配置。此外,在權限組的配置中可以選擇增加權限映射的規則。如果選擇的類型是 Native 身份源,則只能配置默認權限組。
釘釘身份源配置
在身份源頁,開發者可以添加一個釘釘身份源。
首先,用戶需要根據釘釘三方登錄文檔前往釘釘開發者平臺進行應用創建和必要的配置(完成“步驟一:創建并配置應用”及“步驟二:添加接口權限”即可)。
如果您需要開啟釘釘免登功能,需要開啟qyapi_get_member權限:
隨后在“安全設置”中,將https://accounts.mobiapp.cloud/填寫進入“重定向URL(回調域名)”輸入框中:
在“服務器出口 IP ”處,需要將您訪問此應用的出口 IP 地址填入,否則會產生 IP 地址被攔截的問題。
隨后在“憑證與基礎信息”菜單項中,可以獲取 Client ID、Client Secret、Agent ID和Corp ID 值。
得到上述四個值之后,返回魔筆平臺,點擊添加身份源:
在類型中選中“釘釘”選項卡。填寫必要信息后進入下一步:
將釘釘開發者平臺中獲取的憑證值填寫入上述輸入框中,點擊下一步:
選擇權限組后,點擊“確認”,即完成釘釘身份源的添加。
如果您需要開啟釘釘免登,您需要返回至應用編輯器中,在應用設置處,將釘釘免登按鈕置于開啟狀態:
如果您需要從釘釘端內的企業工作臺進入魔筆應用,您可以將應用首頁填寫進入應用首頁地址中:
請檢查輸入內容前后是否包含空格。如果包含空格,可能導致無法從企業工作臺進入魔筆應用的問題。
企業微信身份源添加
在身份源頁,開發者可以添加一個企業微信身份源。
首先,前往企業微信開發者平臺:
點擊上方菜單欄中的“應用管理”,隨后在“自建”欄目中選擇“創建應用”。填寫表單后,進入應用詳情頁。
在“我的企業”選項卡中獲取 Client ID :
回到應用頁面,在應用詳情中獲取 Client Secret 與 Agent ID :
隨后在下方“開發者接口”欄目中進行授權。
首先點擊“企業微信授權登錄”:
在“授權回調域”中填寫accounts.mobiapp.cloud。
隨后返回,點擊“網頁授權與SDK”:
將accounts.mobiapp.cloud填寫進入“可信域名”中。然后點擊上圖中的“下載文件”,將文件名和文件內容保存,隨后回到魔筆平臺:
在新增身份源表單中,選擇“企業微信”選項卡,填寫必要信息后點擊下一步:
在這個表單中填寫在企業微信開發者平臺中獲取的信息,點擊下一步:
配置權限組信息后,即可完成企業微信身份源的添加。
隨后回到企業微信控制臺,在“設置可信域名”中點擊“確定”,下方提示“已驗證”,即可配置成功。
隨后在“企業可信IP”中,需要配置企業的出口IP,否則無法完成登錄流程。
身份源列表
在身份源頁中,開發者可以查看當前空間的所有身份源及其詳細信息,包括:
身份源名稱
類型
狀態
默認權限組
回調地址
描述
這些信息幫助開發者了解當前空間的身份源信息。特別地,在創建身份源后,會自動生成回調地址信息,該回調地址在第一次創建身份源后保持不變,不支持修改。開發者可以使用該回調地址配置自己的 OIDC 服務器的回調地址。
身份源操作
魔筆支持對自定義的 OIDC 身份源和 Native 身份源進行啟用、停用、編輯和刪除操作。在身份源頁的列表中,開發者可以在每一項身份源的操作選項中選擇希望進行的操作。
啟用和停用操作對應調整該身份源的狀態,以控制是否使用該身份源。
編輯操作將對身份源的配置信息進行修改。
刪除操作將刪除選定的身份源。
身份源一旦刪除,不可恢復,請謹慎操作。
為魔筆應用配置默認身份源
在完成身份源配置后,您可以前往魔筆應用編輯器中,在左下角點擊“應用設置”按鈕,在“登錄配置 -> 默認身份源”中,選擇您創建的身份源作為該應用的默認身份源:
