绑定Microsoft Entra ID(Azure AD)

本文介绍使用企业级身份提供方Azure AD通过OIDC协议登录到IDaaS EIAM用户门户的配置方式。

第一步:开始绑定流程

1、进入IDaaS EIAM实例,在身份提供方菜单中单击其他身份提供方-OIDC身份提供方,开始绑定流程。

image.png

2、填写显示名称认证模式选择任意一个均可。PKCE是额外的安全验证,您可以选择性勾选。

image

3、根据您的需求选择对应的Scopes信息。如您需要拉取邮箱字段则email需勾选。image

4、在表单最下方复制IDaaS 授权回调 Redirect URI。Azure AD将向该地址发送认证请求和ID token。

image.png

第二步:创建Azure AD应用

1、在Microsoft门户创建一个Azure账号。

进入Azure Active Directory管理中心,单击管理Azure Active Directory下的查看 > 应用注册image

应用注册页面,单击新注册

image

2、创建新的应用程序

注册应用程序页面输入名称,受支持的账户类型需选择任何组织目录,重定向URI选择Web。单击注册,即可创建一个新的应用程序。如下图,定义该应用名称为IDaaS。image

重定向URI为上面第一步添加OIDC身份提供方时,步骤3中获取的IDaaS 授权回调 Redirect URI。

3、完成新应用程序基本配置

(1)创建新应用程序后,默认进入概述页面。您可以在应用注册 > 所有应用程序下查看您所创建的应用程序。

image

说明

此处的应用程序(客户端) ID即为OIDC客户端配置中的Client ID。

(2)添加客户端凭据:

image

说明

此处列表中的值即为OIDC客户端配置中的clientSecret值,请立即保存。

(3)进入添加可选声明页面,添加组声明。添加完毕之后,会产生一个groups记录。

image

同时分别对令牌类型ID与访问选择图示声明,使登录的客户端能够拿到相关令牌数据。

image

(4)添加API的作用域。进入公开 API,分别添加作用域User.ReadUser.Read.AllGroupMember.Read.AllGroup.Read.All。单击添加范围,为当前这个应用客户端公开图示四个权限:

image

(5)继上一步添加完毕四个作用域后,为客户端应用程序添加授权。进入API 权限

image

  • 再选择应用需要对应的权限:

image

需代表当前租户管理员同意授权:

image

说明

客户端ID即为应用程序(客户端) ID。

4、获取应用的OIDC协议端点访问地址信息

应用注册 > 终结点,OIDC客户端配置中的Issuer取值通过访问OpenID Connect 元数据文档获取:

https://login.microsoftonline.com/common/v2.0

image

至此,三项关键配置信息已获取完毕。

第三步:填写OIDC身份提供方信息

1、您需要在Azure AD应用概述页中获取如下信息,填入到绑定 OIDC 身份提供方表单中。

  • Client ID:在概述选项卡中,单击复制应用程序(客户端) ID,填写到IDaaS表单中。image

  • Client Secret:依然在概述选项卡中,单击客户端凭据,跳转到证书和密码进行客户端密码添加,将添加的密码值填写到IDaaS表单中。image

  • Issuer:在概述选项卡中,通过访问终结点-OpenID Connect 元数据文档,获取Issuer的地址,并复制该地址,填写到IDaaS表单中。

image

2、在IDaaS表单中单击解析Issuer,即可自动填充各端点信息。

image

3、确认无误后,单击下一步,进入选择场景流程,具体配置请参考选择场景

用户登录流程

以下展示Azure AD用户的登录流程。

1、用户访问IDaaS EIAM用户门户时,可见到该登录方式。

image

2、单击登录方式后,将前往Azure AD进行验证。如果Azure AD账号未登录,则出现登录页面;如果已登录,则重定向至IDaaS。

image

3、如果该Azure AD账号已绑定IDaaS账户,则可直接登录IDaaS账户;如果未绑定IDaaS账户,会有优先进行自动绑定,自定绑定失败则需要您进行手动绑定或者自动创建账户选择场景