查询一个EIAM应用的单点登录SSO配置属性。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
调试
授权信息
|
操作 |
访问级别 |
资源类型 |
条件关键字 |
关联操作 |
|
eiam:GetApplicationSsoConfig |
get |
*Application
|
无 | 无 |
请求参数
|
名称 |
类型 |
必填 |
描述 |
示例值 |
| InstanceId |
string |
是 |
实例 ID。 |
idaas_ue2jvisn35ea5lmthk267xxxxx |
| ApplicationId |
string |
是 |
应用 ID。 |
app_mkv7rgt4d7i4u7zqtzev2mxxxx |
返回参数
|
名称 |
类型 |
描述 |
示例值 |
|
object |
|||
| RequestId |
string |
请求 ID。 |
0441BD79-92F3-53AA-8657-F8CE4A2B912A |
| ApplicationSsoConfig |
object |
应用单点登录 SSO 配置信息。 |
|
| SamlSsoConfig |
object |
SAML 协议的应用 SSO 属性配置参数。当且仅当应用 SSO 协议为 SAML 2.0 时返回。 |
|
| SpSsoAcsUrl |
string |
应用(SP)的 SAML 断言消费地址。 |
https://signin.aliyun.com/saml-role/sso |
| SpEntityId |
string |
应用(SP)的 SAML 的 EntityId。 |
urn:alibaba:cloudcomputing |
| NameIdFormat |
string |
SAML 协议标准的 NameID 格式,取值可选范围:
|
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified |
| NameIdValueExpression |
string |
SAML 协议的 NameID 真实取值生成表达式。 |
user.username |
| DefaultRelayState |
string |
默认 RelayState 取值。当用户的单点登录 SSO 请求是由 EIAM 发起时,EIAM 提供的 SAML Response 会指定 RelayState 为当前值。 |
https://home.console.aliyun.com |
| SignatureAlgorithm |
string |
SAML 断言签名算法。 |
RSA-SHA256 |
| ResponseSigned |
boolean |
Response 是否需要签名。ResponseSigned 和 AssertionSigned 不能同时为 false。
|
true |
| AssertionSigned |
boolean |
Assertion 是否需要签名。ResponseSigned 和 AssertionSigned 不能同时为 false。
|
true |
| AttributeStatements |
array<object> |
在 SAML 断言中包含的额外用户属性配置。 |
|
|
object |
|||
| AttributeName |
string |
SAML 断言中属性的 Name。 |
https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName |
| AttributeValueExpression |
string |
SAML 断言中的属性取值表达式。 |
user.username |
| IdPEntityId |
string |
SAML 协议中代表 IdP 身份的 Entity Id |
https://example.com/ |
| OptionalRelayStates |
array<object> |
可选的 RelayState。用户在应用门户的应用卡片中,显示多个可选跳转地址的显示名称,用户点击并完成 SSO 后,自动跳转到对应地址。需要填写默认跳转地址后才可填写 |
|
|
object |
|||
| RelayState |
string |
可选的 RelayState。用户在应用门户的应用卡片中,显示多个可选跳转地址的显示名称,用户点击并完成 SSO 后,自动跳转到对应地址 |
https://home.console.aliyun.com |
| DisplayName |
string |
RelayState 显示名称 |
Ram Account SSO |
| OidcSsoConfig |
object |
OIDC 协议的应用 SSO 属性配置参数。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
|
| RedirectUris |
array |
应用支持的 RedirectUri 列表。 |
|
|
string |
应用支持的 RedirectUri。 |
https://example.com/oidc/login/callback |
|
| PostLogoutRedirectUris |
array |
应用支持 Logout 登出回调地址列表。 |
|
|
string |
应用的 Logout 登出回调白名单地址,应用发起 Logout 请求时可以指定 post_logout_redirect_uri 参数。 |
https://example.com/oidc/login/logout |
|
| GrantTypes |
array |
支持的 OIDC 协议授权模式列表。 |
authorization_code |
|
string |
支持的 OIDC 协议授权模式,取值可选范围:
|
refresh_token |
|
| ResponseTypes |
array |
当 OidcSsoConfig.GrantTypes 包含指定 implicit 隐式模式后,应用支持的返回类型。 |
token id_token |
|
string |
OIDC 协议标准参数 ResponseType,只有指定了 GrantTypes 包含 implicit 隐式模式才生效,取值可选范围:
|
token id_token |
|
| GrantScopes |
array |
OIDC 协议标准参数 scope,用于指定 userinfo 端点或者 id_token 可以返回的用户属性范围。 |
profile,email |
|
string |
OIDC 协议标准参数 scope,用于指定 userinfo 端点或者 id_token 可以返回的用户属性范围,取值可选范围:
|
openid |
|
| PasswordTotpMfaRequired |
boolean |
密码模式是否强制需要 TOTP 二次认证,当且仅当 OIDC 协议应用指定的 GrantTypes 包含 password 模式才生效。 |
true |
| PasswordAuthenticationSourceId |
string |
密码模式使用的身份认证源 ID,当且仅当 OIDC 协议应用指定的 GrantTypes 包含 password 模式才生效。 |
ia_password |
| PkceRequired |
boolean |
应用 SSO 是否强制要求 PKCE(RFC 7636)。 |
true |
| PkceChallengeMethods |
array |
PKCE 中计算 Code Challenge 的算法。 |
S256 |
|
string |
PKCE 中计算 Code Challenge 的算法,取值可选范围:
|
S256 |
|
| AccessTokenEffectiveTime |
integer |
签发的 access token 有效时间,单位为秒,默认 1200 秒(20 分钟)。 |
1200 |
| CodeEffectiveTime |
integer |
签发的 code 有效时间,单位为秒,默认为 60 秒(1 分钟)。 |
60 |
| IdTokenEffectiveTime |
integer |
签发的 id token 有效时间,单位为秒,默认为 300 秒(5 分钟)。 |
1200 |
| RefreshTokenEffective |
integer |
签发的 refresh token 有效时间,单位为秒,默认为 86400 秒(1 天)。 |
86400 |
| CustomClaims |
array<object> |
自定义 id token 返回包含的用户信息。 |
|
|
object |
|||
| ClaimName |
string |
返回的 claim 名称。 |
userOuIds |
| ClaimValueExpression |
string |
返回的 claim 取值表达式。 |
ObjectToJsonString(user.organizationalUnits) |
| SubjectIdExpression |
string |
自定义 id token 返回的 sub 取值表达式。 |
user.userid |
| AllowedPublicClient |
string |
应用是否允许作为公共客户端请求 IDaaS EIAM 授权服务器。只支持授权码模式和设备模式启用,默认为 false。 |
true |
| ProtocolEndpointDomain |
object |
应用提供的 Metadata 端点配置信息。 |
|
| SamlSsoEndpoint |
string |
SAML 协议 AuthnRequest 请求接受地址。当且仅当应用 SSO 协议为 SAML 2.0 时返回。 |
https://l1seshcn.aliyunidaas.com/login/app/app_mltuxdwd4lq4eer6tmtlmaxm5e/saml2/sso |
| SamlMetaEndpoint |
string |
SAML 协议的 Metadata 元数据地址。当且仅当应用 SSO 协议为 SAML 2.0 时返回。 |
https://l1seshcn.aliyunidaas.com/api/v2/app_mltuxdwd4lq4eer6tmtlmaxm5e/saml2/meta |
| OidcIssuer |
string |
OIDC issuer 信息。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oidc |
| OidcJwksEndpoint |
string |
OIDC jwks 地址。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oidc/jwks |
| Oauth2AuthorizationEndpoint |
string |
oAuth2 授权端点。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
https://l1seshcn.aliyunidaas.com/login/app/app_mltta64q65enci54slingvvsgq/oauth2/authorize |
| Oauth2RevokeEndpoint |
string |
oAuth2 Token 吊销端点。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/revoke |
| Oauth2TokenEndpoint |
string |
oAuth2 Token 端点。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/token |
| Oauth2DeviceAuthorizationEndpoint |
string |
oAuth2 Device 授权端点。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/device/code |
| Oauth2UserinfoEndpoint |
string |
OIDC 获取用户信息端点。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/userinfo |
| OidcLogoutEndpoint |
string |
OIDC RP-initiated Logout Endpoint。当且仅当应用 SSO 协议为 OIDC 类型时返回。 |
https://l1seshcn.aliyunidaas.com/login/app/app_mltta64q65enci54slingvvsgq/oauth2/logout |
| SsoStatus |
string |
应用 SSO 功能启用状态,取值可选范围:
|
enabled |
| InitLoginType |
string |
初始化单点登录 SSO 方式,取值可选范围:
|
only_app_init_sso |
| InitLoginUrl |
string |
初始化单点登录 SSO 触发地址,当 OIDC 协议应用 InitLoginType 为 idaas_or_app_init_sso,必须指定;当 SAML 协议应用 InitLoginType 为 only_app_init_sso 时,必须指定。 |
http://127.0.0.1:8000/start_login?enterprise_code=ABCDEF |
示例
正常返回示例
JSON格式
{
"RequestId": "0441BD79-92F3-53AA-8657-F8CE4A2B912A",
"ApplicationSsoConfig": {
"SamlSsoConfig": {
"SpSsoAcsUrl": "https://signin.aliyun.com/saml-role/sso",
"SpEntityId": "urn:alibaba:cloudcomputing",
"NameIdFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified",
"NameIdValueExpression": "user.username",
"DefaultRelayState": "https://home.console.aliyun.com",
"SignatureAlgorithm": "RSA-SHA256",
"ResponseSigned": true,
"AssertionSigned": true,
"AttributeStatements": [
{
"AttributeName": "https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName",
"AttributeValueExpression": "user.username"
}
],
"IdPEntityId": "https://example.com/",
"OptionalRelayStates": [
{
"RelayState": "https://home.console.aliyun.com",
"DisplayName": "Ram Account SSO"
}
]
},
"OidcSsoConfig": {
"RedirectUris": [
"https://example.com/oidc/login/callback\n"
],
"PostLogoutRedirectUris": [
"https://example.com/oidc/login/logout\n"
],
"GrantTypes": [
"refresh_token"
],
"ResponseTypes": [
"token id_token"
],
"GrantScopes": [
"openid"
],
"PasswordTotpMfaRequired": true,
"PasswordAuthenticationSourceId": "ia_password",
"PkceRequired": true,
"PkceChallengeMethods": [
"S256"
],
"AccessTokenEffectiveTime": 1200,
"CodeEffectiveTime": 60,
"IdTokenEffectiveTime": 1200,
"RefreshTokenEffective": 86400,
"CustomClaims": [
{
"ClaimName": "userOuIds",
"ClaimValueExpression": "ObjectToJsonString(user.organizationalUnits)"
}
],
"SubjectIdExpression": "user.userid",
"AllowedPublicClient": "true"
},
"ProtocolEndpointDomain": {
"SamlSsoEndpoint": "https://l1seshcn.aliyunidaas.com/login/app/app_mltuxdwd4lq4eer6tmtlmaxm5e/saml2/sso",
"SamlMetaEndpoint": "https://l1seshcn.aliyunidaas.com/api/v2/app_mltuxdwd4lq4eer6tmtlmaxm5e/saml2/meta",
"OidcIssuer": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oidc",
"OidcJwksEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oidc/jwks",
"Oauth2AuthorizationEndpoint": "https://l1seshcn.aliyunidaas.com/login/app/app_mltta64q65enci54slingvvsgq/oauth2/authorize",
"Oauth2RevokeEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/revoke",
"Oauth2TokenEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/token",
"Oauth2DeviceAuthorizationEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/device/code",
"Oauth2UserinfoEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/userinfo",
"OidcLogoutEndpoint": "https://l1seshcn.aliyunidaas.com/login/app/app_mltta64q65enci54slingvvsgq/oauth2/logout"
},
"SsoStatus": "enabled",
"InitLoginType": "only_app_init_sso",
"InitLoginUrl": "http://127.0.0.1:8000/start_login?enterprise_code=ABCDEF"
}
}错误码
访问错误中心查看更多错误码。
变更历史
更多信息,参考变更详情。