AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 应用身份服务 (IDaaS) EIAM 云身份服务 实践教程 通义灵码 SSO

通义灵码 SSO

更新时间:
产品详情
我的收藏

本文档介绍如何通过阿里云IDaaS与云效专属版企业配置通义灵码单点登录(SSO),涵盖创建OIDC应用、创建专属版企业实例及第三方集成全流程。

一、在IDaaS侧创建 OIDC 应用

  1. 登录IDaaS管理控制台,在左侧导航栏中,选择 EIAM 云身份服务 。选择对应的 IDaaS 实例,单击操作列的访问控制台

  2. 单击应用 > 添加应用 > 标准协议,添加 OIDC 应用。

  3. 在通用配置页签获取 client_idclient_secret 用于第三方集成配置image

  4. 登录访问 > 单点登录页签。

    1. 启用单点登录配置。

    2. 登录 Redirect URI填入步骤三的登录回调地址image

    3. 授权范围选择全员可访问

    4. 在应用配置信息处,获取 Issuer 用于第三方集成配置配置完成后,单击保存。image

二、在云效侧创建专属版企业并配置网络

说明

通义灵码企业专属版需结合云效服务进行企业管控。创建实例需要有阿里云账号或有管理权限的RAM用户(RAM需包含权限策略 AliyunRDCFullAccess)。

  1. 创建专属版企业实例。

    1. 登录云效控制台,单击专属版菜单栏。

    2. 单击新建企业,进入购买页面,填写以下参数:

      • 地域:选择实例的地域。

      • 购买方式:选择新建实例购买。

      • 实例名称:当前企业实例的名称,支持中文、英文、数字、分隔符“-”。

      • 实例标识:基于实例标识将自动生成公网/专网访问域名,为保证安全性,实例创建默认不开启公网/专网络访问,访问网络需在实例创建完成后,进入实例详情配置。

      • 规格:默认企业专属版,不支持修改。

      • 许可证数量:默认最小数量100,可根据实际需求进行添加。

      • 购买时长:根据实际需求选择。可选范围:1个月、3个月、6个月、1年、2年、3年。

      • root 账号密码:初始 root 账号登录企业实例的密码,后续可在实例详情进行修改。

      image

    3. 购买完成后,返回控制台。如未显示企业实例,可稍等刷新查看。企业实例创建成功后可在企业实例列表查看状态。

  2. 网络配置。

    说明

    为了保证网络安全性,企业实例创建后默认未开启公/专网络,即默认公网不可访问,需在实例处于使用中状态后自行进行网络设置。

    1. 选择专属版目标企业,单击名称/企业 ID,进入企业详情查看当前网络情况。

    2. 在访问网络配置中,单击前往修改image

    3. 跳转至网络配置页签后,单击修改配置。可选择使用公网访问或使用专有网络访问image

      1. 公网访问配置

        1. 单击选择使用公网访问。

        2. 为保证安全性,开启公网访问必须设置 IP 白名单。

          示例

          说明

          127.0.0.1

          表示仅允许本地访问。

          0.0.0.0/0

          表示允许所有地址访问。

          设置 IP 段 10.10.10.0/24

          表示只允许该网段访问。

          说明

          若设置多个 IP 地址,需要用英文逗号隔开,逗号前后不加空格。公网白名单最多支持设置 50 个 IP 或 IP 段,配置修改后预计5分钟生效。

      2. 专网访问配置

        1. 单击选择使用专有网络访问。

        2. 创建终端节点:如无可用终端节点,请填写参数进行创建。如无专有网络配置权限,请根据提示信息授权后再进行配置。详情请参见:专网访问配置

  3. 网络配置完成后,在专属版目标企业操作列单击进入企业

  4. 跳转至登录通义灵码页面,输入登录账号和密码后,单击登录按钮进行登录

三、配置OIDC集成

企业管理员可以在第三方集成中配置和管理 OIDC 集成。在OIDC栏,单击添加配置。image

  1. 配置 OIDC Client。

    1. 登录回调地址:把该地址填入IDaaS侧创建的OIDC应用中image

    2. Client ID:填写步骤一在通用配置页签处获取的 client_id

    3. Client Secret:填写步骤一在通用配置页签处获取的 client_secret

    4. Issuer URL:填写步骤一在应用配置信息处获取的 Issuer

    填写完成后,单击下一步

  2. 账号绑定与属性映射。

    1. 账号唯一标识:请输入用于判定账号唯一的 OIDC 用户属性,提交配置后不可修改。

    2. 账号绑定方式:目前提供四种账号识别和绑定方式。

      • 自动绑定邮箱相同的账号。

      • 自动绑定登录账号相同的账号。

      • 自动绑定与手机号相同的账号。

      • 自动绑定工号相同的账号。

      请确保所选方式的属性字段唯一且存在,通义灵码将按此进行账号匹配。选择自动绑定邮箱相同的账号的绑定过程:image

    3. 配置用户属性映射字段。填写必填项,如:姓名、登录账号、邮箱。image

      说明

      需要保证登录账号、用于账号绑定识别的属性字段的唯一性,且必须填写。

    填写完成后,单击下一步

  3. 开启服务。

    1. 单击单点登录开关按钮。开启后,在通义灵码登录页面中即可快速跳转 OIDC 登录页面,通过 OIDC 登录通义灵码。

    2. 修改 OIDC 显示名称和显示图标。修改后通义灵码将按照修改的内容显示 OIDC 的信息。

    3. 高级设置:允许登录时创建通义灵码账号默认登录时优先进行账号绑定,勾选后允许登录时为用户创建通义灵码账号。

    完成所有配置后,点击保存配置按钮即可。

四、验证通义灵码 SSO

开启单点登录后,云效登录页面显示 OIDC 登录入口。点击后进入 OIDC 账号登录页面,已绑定 OIDC 账号的用户可以登录。image

上一篇:在企业微信工作台单点登录到IDaaS应用下一篇:开发参考