OIDC 集成

OIDC 集成可以通过集成 OIDC（标准协议）连接企业 OIDC 身份验证服务，实现单点登录。

站点管理员可以在站点管理-第三方集成中配置和管理 OIDC 集成。如果需要创建不在 OIDC 中的用户，可以勾选支持内建用户，可以创建同步范围外的用户。

配置 OIDC

步骤一 配置 OIDC Client

在配置 OIDC 之前，请确保 OIDC Client 已经创建完整，并将 OIDC Client 的以下信息填写到表单输入框中：

• Client ID

• Client Secret

• Issuer URL

填写完成后，单击下一步。

步骤二 配置账号绑定与属性映射

目前提供种 4 种账号识别和绑定方式：

• 自动绑定邮箱相同的账号：按照同步策略，自动将云效、OIDC 中邮箱账号相同的用户绑定在一起；

• 自动绑定登录账号相同的账号：按照同步策略，自动将云效、OIDC 中登录账号相同的用户绑定在一起；

• 自动绑定手机号相同的账号：按照同步策略，自动将云效、OIDC 中手机号相同的用户绑定在一起；

• 自动绑定工号相同的账号：按照同步策略，自动将云效、OIDC 中工号相同的用户绑定在一起。

无论选择哪一种账号识别和绑定方式，均需要保证其对应的属性字段的唯一性和存在性，因为云效将按照选择的方式进行账号的一一匹配，如下图为选择自动绑定邮箱相同的账号的绑定过程：

接下来需配置用户属性映射的字段，云效将按照下图中设置的用户属性字段映射关系进行信息映射。

填写完成后，单击下一步。

步骤三 开启单点登录服务

在配置过程中，单点登录的功能默认不开启，开启后，可进行 OIDC 单点登录相关配置：

• 将云效的回调地址配置到 OIDC Client 中;

• 修改 OIDC 显示名称和显示图标，修改后云效系统上将按照修改的内容显示 OIDC 的信息；

• 允许开启首次登录时创建云效账号：

  • 默认不勾选：登录时仅允许 OIDC 账号与云效账号进行绑定，匹配不到云效账号时，云效不会根据 OIDC 账号创建云效账号；

  • 勾选后：允许在 OIDC 账号登录云效且 OIDC 账号无法匹配到云效账号时，云效创建新的云效账号与之绑定。

如果选择不开启单点登录，也可保存配置，后续可以在 OIDC 集成详情页面中开启服务。

当完成所有配置后，单击保存配置按钮即可完成 OIDC 集成的配置。

通过 OIDC 登录云效

开启单点登录后，云效登录页面将显示 OIDC 登录入口，点击后可进入 OIDC 账号登录页面，已绑定 OIDC 账号的用户可以通过 OIDC 账号登录。

退出登录

用户需要在云效退出登录，云效退出登录时，会同时退出 OIDC IdP 的登录态。

会话持续时间和时长

会话持续时间以云效设置的为准，若超过云效设置的登录保持时间，会退出云效，如需继续使用云效需要重新登录。

修改 OIDC 配置

在 OIDC 集成详情页中，可以看到查看/修改配置入口，单击后即可在抽屉中修改非填的用户属性映射信息，其他配置信息不允许修改。

关闭单点登录服务

在 OIDC 集成详情页中，已经开启单点登录的情况下，可单击修改服务配置，在打开的修改配置的抽屉中可以关闭单点登录服务，关闭单点登录后：

• 不会解除云效账号与 OIDC 账号的绑定关系；

• 不支持通过 OIDC 账号登录云效，用户若需要登录云效，可使用云效的登录账号和密码进行登录。

移除 OIDC 集成

在 OIDC 集成详情页中，可单击移除集成按钮，二次确认后即可移除 OIDC 集成，移除集成后：

• 解除云效账号和 OIDC 账号的绑定关系；

• 不支持通过 OIDC 登录云效，用户若需要登录云效，可使用云效的登录账号和密码进行登录。