文档

GetApplicationSsoConfig - 查询一个EIAM应用的单点登录SSO配置

更新时间:

查询一个EIAM应用的单点登录SSO配置属性。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
eiam:GetApplicationSsoConfigRead
  • Application
    acs:eiam:{#regionId}:{#accountId}:instance/{#InstanceId}/application/{#ApplicationId}

请求参数

名称类型必填描述示例值
InstanceIdstring

实例ID。

idaas_ue2jvisn35ea5lmthk267xxxxx
ApplicationIdstring

应用ID。

app_mkv7rgt4d7i4u7zqtzev2mxxxx

返回参数

名称类型描述示例值
object
RequestIdstring

请求ID。

0441BD79-92F3-53AA-8657-F8CE4A2B912A
ApplicationSsoConfigobject

应用单点登录SSO配置信息。

SamlSsoConfigobject

SAML协议的应用SSO属性配置参数。当且仅当应用SSO协议为SAML 2.0时返回。

SpSsoAcsUrlstring

应用(SP)的SAML断言消费地址。

https://signin.aliyun.com/saml-role/sso
SpEntityIdstring

应用(SP)的SAML的EntityId。

urn:alibaba:cloudcomputing
NameIdFormatstring

SAML协议标准的NameID格式,取值可选范围:

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified:未指定的,由应用自行决定解析NameID。
  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress:Email地址格式。
  • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent:持久化的NameID。
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient:瞬时的NameID。
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
NameIdValueExpressionstring

SAML协议的NameID真实取值生成表达式。

user.username
DefaultRelayStatestring

默认RelayState取值。当用户的单点登录SSO请求是由EIAM发起时,EIAM提供的SAML Response会指定RelayState为当前值。

https://home.console.aliyun.com
SignatureAlgorithmstring

SAML断言签名算法。

RSA-SHA256
ResponseSignedboolean

Response是否需要签名。ResponseSigned和AssertionSigned不能同时为false。

  • true:需要签名。
  • false:不需要签名。
true
AssertionSignedboolean

Assertion是否需要签名。ResponseSigned和AssertionSigned不能同时为false。

  • true:需要签名。
  • false:不需要签名。
true
AttributeStatementsobject []

在SAML断言中包含的额外用户属性配置。

AttributeNamestring

SAML断言中属性的Name。

https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName
AttributeValueExpressionstring

SAML断言中的属性取值表达式。

user.username
OidcSsoConfigobject

OIDC协议的应用SSO属性配置参数。当且仅当应用SSO协议为OIDC类型时返回。

RedirectUrisarray

应用支持的RedirectUri列表。

string

应用支持的RedirectUri。

https://example.com/oidc/login/callback
PostLogoutRedirectUrisarray

应用支持Logout登出回调地址列表。

string

应用的Logout登出回调白名单地址,应用发起Logout请求时可以指定post_logout_redirect_uri参数。

https://example.com/oidc/login/logout
GrantTypesarray

支持的OIDC协议授权模式列表。

string

支持的OIDC协议授权模式,取值可选范围:

  • authorization_code:授权码模式。
  • implicit:隐式模式。
  • refresh_token:令牌刷新模式。
  • urn:ietf:params:oauth:grant-type:device_code:设备模式。
  • password:密码模式。
refresh_token
ResponseTypesarray

当OidcSsoConfig.GrantTypes包含指定implicit隐式模式后,应用支持的返回类型。

string

OIDC协议标准参数ResponseType,只有指定了GrantTypes包含implicit隐式模式才生效,取值可选范围:

  • token:只返回access token。
  • id_token:只返回id token。
  • token id_token:同时返回access token和id token。
token id_token
GrantScopesarray

OIDC协议标准参数 scope,用于指定userinfo端点或者id_token可以返回的用户属性范围。

string

OIDC协议标准参数 scope,用于指定userinfo端点或者id_token可以返回的用户属性范围,取值可选范围:

  • openid:OIDC标准参数,用户唯一id。
  • profile:用户详细信息。
  • email:用户邮箱信息。
  • phone:用户手机信息。
openid
PasswordTotpMfaRequiredboolean

密码模式是否强制需要TOTP二次认证,当且仅当OIDC协议应用指定的GrantTypes包含password模式才生效。

true
PasswordAuthenticationSourceIdstring

密码模式使用的身份认证源ID,当且仅当OIDC协议应用指定的GrantTypes包含password模式才生效。

ia_password
PkceRequiredboolean

应用SSO是否强制要求PKCE(RFC 7636)。

true
PkceChallengeMethodsarray

PKCE中计算Code Challenge的算法。

string

PKCE中计算Code Challenge的算法,取值可选范围:

  • plain:原文。
  • S256:SHA 256算法。
S256
AccessTokenEffectiveTimelong

签发的access token有效时间,单位为秒,默认1200秒(20分钟)。

1200
CodeEffectiveTimelong

签发的code有效时间,单位为秒,默认为60秒(1分钟)。

60
IdTokenEffectiveTimelong

签发的id token有效时间,单位为秒,默认为300秒(5分钟)。

1200
RefreshTokenEffectivelong

签发的refresh token有效时间,单位为秒,默认为86400秒(1天)。

86400
CustomClaimsobject []

自定义id token返回包含的用户信息。

ClaimNamestring

返回的claim名称。

userOuIds
ClaimValueExpressionstring

返回的claim取值表达式。

ObjectToJsonString(user.organizationalUnits)
SubjectIdExpressionstring

自定义id token返回的sub取值表达式。

user.userid
ProtocolEndpointDomainobject

应用提供的Metadata 端点配置信息。

SamlSsoEndpointstring

SAML协议AuthnRequest请求接受地址。当且仅当应用SSO协议为SAML 2.0时返回。

https://l1seshcn.aliyunidaas.com/login/app/app_mltuxdwd4lq4eer6tmtlmaxm5e/saml2/sso
SamlMetaEndpointstring

SAML协议的Metadata元数据地址。当且仅当应用SSO协议为SAML 2.0时返回。

https://l1seshcn.aliyunidaas.com/api/v2/app_mltuxdwd4lq4eer6tmtlmaxm5e/saml2/meta
OidcIssuerstring

OIDC issuer信息。当且仅当应用SSO协议为OIDC类型时返回。

https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oidc
OidcJwksEndpointstring

OIDC jwks地址。当且仅当应用SSO协议为OIDC类型时返回。

https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oidc/jwks
Oauth2AuthorizationEndpointstring

oAuth2 授权端点。当且仅当应用SSO协议为OIDC类型时返回。

https://l1seshcn.aliyunidaas.com/login/app/app_mltta64q65enci54slingvvsgq/oauth2/authorize
Oauth2RevokeEndpointstring

oAuth2 Token吊销端点。当且仅当应用SSO协议为OIDC类型时返回。

https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/revoke
Oauth2TokenEndpointstring

oAuth2 Token端点。当且仅当应用SSO协议为OIDC类型时返回。

https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/token
Oauth2DeviceAuthorizationEndpointstring

oAuth2 Device 授权端点。当且仅当应用SSO协议为OIDC类型时返回。

https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/device/code
Oauth2UserinfoEndpointstring

OIDC 获取用户信息端点。当且仅当应用SSO协议为OIDC类型时返回。

https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/userinfo
OidcLogoutEndpointstring

OIDC RP-initiated Logout Endpoint。当且仅当应用SSO协议为OIDC类型时返回。

https://l1seshcn.aliyunidaas.com/login/app/app_mltta64q65enci54slingvvsgq/oauth2/logout
SsoStatusstring

应用 SSO 功能启用状态,取值可选范围:

  • enabled:应用中。
  • disabled:禁用中。
enabled
InitLoginTypestring

初始化单点登录SSO方式,取值可选范围:

  • only_app_init_sso:仅应用发起SSO,OIDC协议应用默认取值。当SAML应用指定为该方式时,InitLoginUrl必须指定。
  • idaas_or_app_init_sso:支持IDaaS门户或者应用发起SSO,SAML协议应用默认取值范围。当OIDC协议指定为该方式时,InitLoginUrl必须指定。
only_app_init_sso
InitLoginUrlstring

初始化单点登录SSO触发地址,当OIDC协议应用InitLoginType为idaas_or_app_init_sso,必须指定;当SAML协议应用InitLoginType为only_app_init_sso时,必须指定。

http://127.0.0.1:8000/start_login?enterprise_code=ABCDEF

示例

正常返回示例

JSON格式

{
  "RequestId": "0441BD79-92F3-53AA-8657-F8CE4A2B912A",
  "ApplicationSsoConfig": {
    "SamlSsoConfig": {
      "SpSsoAcsUrl": "https://signin.aliyun.com/saml-role/sso",
      "SpEntityId": "urn:alibaba:cloudcomputing",
      "NameIdFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified",
      "NameIdValueExpression": "user.username",
      "DefaultRelayState": "https://home.console.aliyun.com",
      "SignatureAlgorithm": "RSA-SHA256",
      "ResponseSigned": true,
      "AssertionSigned": true,
      "AttributeStatements": [
        {
          "AttributeName": "https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName",
          "AttributeValueExpression": "user.username"
        }
      ]
    },
    "OidcSsoConfig": {
      "RedirectUris": [
        "https://example.com/oidc/login/callback\n"
      ],
      "PostLogoutRedirectUris": [
        "https://example.com/oidc/login/logout\n"
      ],
      "GrantTypes": [
        "refresh_token"
      ],
      "ResponseTypes": [
        "token id_token"
      ],
      "GrantScopes": [
        "openid"
      ],
      "PasswordTotpMfaRequired": true,
      "PasswordAuthenticationSourceId": "ia_password",
      "PkceRequired": true,
      "PkceChallengeMethods": [
        "S256"
      ],
      "AccessTokenEffectiveTime": 1200,
      "CodeEffectiveTime": 60,
      "IdTokenEffectiveTime": 1200,
      "RefreshTokenEffective": 86400,
      "CustomClaims": [
        {
          "ClaimName": "userOuIds",
          "ClaimValueExpression": "ObjectToJsonString(user.organizationalUnits)"
        }
      ],
      "SubjectIdExpression": "user.userid"
    },
    "ProtocolEndpointDomain": {
      "SamlSsoEndpoint": "https://l1seshcn.aliyunidaas.com/login/app/app_mltuxdwd4lq4eer6tmtlmaxm5e/saml2/sso",
      "SamlMetaEndpoint": "https://l1seshcn.aliyunidaas.com/api/v2/app_mltuxdwd4lq4eer6tmtlmaxm5e/saml2/meta",
      "OidcIssuer": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oidc",
      "OidcJwksEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oidc/jwks",
      "Oauth2AuthorizationEndpoint": "https://l1seshcn.aliyunidaas.com/login/app/app_mltta64q65enci54slingvvsgq/oauth2/authorize",
      "Oauth2RevokeEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/revoke",
      "Oauth2TokenEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/token",
      "Oauth2DeviceAuthorizationEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/device/code",
      "Oauth2UserinfoEndpoint": "https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ue2jvisn35ea5lmthk2676rypm/app_mltta64q65enci54slingvvsgq/oauth2/userinfo",
      "OidcLogoutEndpoint": "https://l1seshcn.aliyunidaas.com/login/app/app_mltta64q65enci54slingvvsgq/oauth2/logout"
    },
    "SsoStatus": "enabled",
    "InitLoginType": "only_app_init_sso",
    "InitLoginUrl": "http://127.0.0.1:8000/start_login?enterprise_code=ABCDEF"
  }
}

错误码

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2023-06-30OpenAPI 返回结构发生变更看变更集
变更项变更内容
出参OpenAPI 返回结构发生变更
2023-01-04OpenAPI 返回结构发生变更看变更集
变更项变更内容
出参OpenAPI 返回结构发生变更
  • 本页导读 (0)
文档反馈