IDaaS :应用身份服务

SP :服务提供者,指第三方业务系统

IDaaS版本号 :1.6

指导说明

本文为二级引导文章,主要帮助用户理解 IDaaS 实现单点登录的全流程。常用的操作文档参考如下:

单点登录对接流程图

什么是应用模板?

在 IDaaS 中,我们会通过应用模板方式来集中管理第三方业务系统的配置主要包括:单点登录配置、数据同步配置、主子账号管理、授权管理、应用状态管理、审计信息等。

更多详细的应用管理操作说明请阅读: IDaaS 应用管理连接补充

第 1 步 选择对接方式

首先我们需要选择合适的 SSO 单点登录对接协议,也就是在 IDaaS 中挑选应用模板。那么我们该如何去判断该使用哪种应用模板呢?可以从以下 4 个方面考虑:

1)IDaaS 预集成

在 IDaaS 里,我们预先集成了一些常用的 SaaS 应用,比如:钉钉、阿里云 RAM 、阿里邮箱等

添加应用 的搜索栏中输入应用名称,即可看到查询结果。填写基本信息后即可开始使用,快速配置,无需开发,5分钟搞定。

如果您在使用模板填写配置信息时遇到问题,请使用右上角的搜索栏,查找对应的模板使用手册,按使用手册步骤进行配置即可。

如果您未找到想要的应用模板,并且希望增加在 IDaaS 预集成应用模板中,请 联系我们

2)B/S or C/S ?

通常业务系统的网络结构模式主要有两种:B/S 结构(浏览器/服务器模式)C/S 结构(客户端/浏览器模式)

B/S 结构:我们通常推荐使用:SAML、OAuth2.0、JWT、CAS 应用模板对接

C/S 结构:我们通常使用 C/S(程序)应用模板进行对接

3)IDaaS 标准协议

IDaaS目前主要提供四种 SSO 协议:SAML、JWT、OAuth2.0、CAS

如果您的业务系统支持上述其中的某个协议,仅需在应用模板中进行配置,然后业务系统进行少量的开发工作,即可实现 SSO 单点登录。

如果以上协议都不支持,在这里,我们将主推 JWT 模式,开发简单,容易实现。

4)代填模板

由于某些特殊情况下,业务系统不支持 IDaaS 提供的 4 种协议,同时又面临改造困难的问题。比如:系统建设时间长,联系供应商困难,或者供应商收费高昂无法进行适配改造等

针对这种情况,可以使用表单代填来实现业务系统的单点登录,都是通过模拟用户输入账号密码方式实现。

通过下表,您可以进一步选择模板

对接协议(应用模板) B/S C/S SP是否需要开发 开发/对接难度
JWT × 简单
× 中等
× 中等
CAS × 简单
C/S(程序) × 简单
C/S(浏览器)(指令代填) × 简单
表单代填 × × 简单

第 2 步 创建应用模板

选定好对接协议后,我们就要开始在IDaaS创建模板。

1)搜索模板

  • 预集成应用模板创建:在 添加应用 中搜索应用名称,如:阿里邮箱,填写信息进行应用创建。
  • 标准协议模板创建:在 添加应用中搜索协议名称,如:JWT,填写信息进行应用创建。

2)填写信息

详细请参考应用模板使用文档。

3)保存模板

第 3 步 业务系统研发

当我们创建好应用后,业务系统获取到一些相关信息,比如:JWT PublicKey ,就可以开始研发工作了。主要研发的内容大致为:获取 token 参数,进行解析,跳转首页。目的就是拿到 IDaaS 已完成认证的账户信息,然后业务系统直接放行跳转至用户首页。详细过程可见上述应用模板使用文档

第 4 步 对接测试

业务系统完成开发工作后,就可以开始进行单点登录的测试工作了。在测试的时候需要注意要记得给账户授权,否则,用户将看不到应用的 Logo 图标。详细过程可见上述应用模板使用文档

第 5 步 完成对接

测试通过后,我们就完成 SSO 单点登录对接啦,用户就可以开始在 IDaaS 中使用体验单点登录带来的便捷。