OAuth凭证提供商管理
创建OAuth凭证提供商后,Agent Identity可为Agent从OAuth供应商处获取OAuth访问令牌并安全存储在Token Vault中。Agent无需在代码中处理OAuth令牌请求逻辑(如令牌缓存),也无需存储客户端密钥信息。
前提条件
建议为操作人员分配Agent Identity管理员AliyunAgentIdentityFullAccess权限。
创建OAuth凭证提供商
登录AgentIdentity控制台,在左侧导航栏选择。
在凭证提供商页面,单击OAuth2页签。
单击创建凭证提供商。
在创建凭证提供商页面,配置基本信息:
凭证提供商名称:OAuth凭证提供商的名称。
描述(可选):凭证提供商的描述信息。
在创建凭证提供商页面的配置信息区域,配置供应商信息。如果预配置列表中包含目标供应商(例如阿里云),建议直接选择以简化配置。否则,选择自定义并参考以下说明进行配置。
发现URL(推荐)
如果OAuth凭证提供商支持发现URL(OIDC元数据地址,通常以
/.well-known/openid-configuration结尾),推荐使用此方法。Agent Identity可通过发现URL自动获取颁发者(issuer)、授权端点(authorization_endpoint)、令牌端点(token_endpoint)等信息。配置以下参数:
客户端ID:在供应商处注册的OAuth应用ID。Agent Identity使用此ID代表Agent向OAuth供应商请求访问令牌。
客户端密钥:在供应商处注册OAuth应用(通常为Web或Server应用类型)时创建的密钥。Agent Identity使用此密钥向OAuth提供商的令牌端点完成身份验证。
发现URL:OAuth供应商的OIDC发现URL。
手动配置
当供应商不支持发现URL,或发现URL无法通过公网访问时,使用此方法。
配置以下参数:
客户端ID:在供应商处注册的OAuth应用ID。Agent Identity使用此ID代表Agent向OAuth供应商请求访问令牌。
客户端密钥:在供应商处注册OAuth应用(通常为Web或Server应用类型)时创建的密钥。Agent Identity使用此密钥向OAuth提供商的令牌端点完成身份验证。
颁发者:供应商OAuth授权服务的唯一身份标识(通常为URL),用于声明访问令牌的来源。
授权端点:供应商的OAuth授权端点地址。Agent Identity使用此地址生成OAuth请求以获取授权码。
令牌端点:供应商的OAuth令牌端点地址。Agent Identity使用此地址生成OAuth请求以获取访问令牌。
是否启用PKCE:若供应商支持,推荐开启以增强安全性,防止授权码被盗用。
单击创建凭证提供商。
删除OAuth凭证提供商
登录AgentIdentity控制台,在左侧导航栏选择。
在凭证提供商页面,单击OAuth2页签。
在凭证提供商列表中,找到目标凭证提供商,单击操作列的删除凭证提供商。
在删除凭证提供商对话框中,输入凭证提供商名称,然后单击删除凭证提供商。