绑定Microsoft Entra ID（Azure AD）

第一步：开始绑定流程

1. 进入IDaaS EIAM实例，在身份提供方菜单中单击其他身份提供方-OIDC身份提供方，开始绑定流程。

   

2. 填写显示名称，认证模式选择任意一个均可。PKCE是额外的安全验证，您可以选择性勾选。

   

3. 根据您的需求选择对应的Scopes信息。如您需要拉取邮箱字段则email需勾选。

4. 在表单最下方复制IDaaS 授权回调 Redirect URI。Azure AD将向该地址发送认证请求和ID token。

   

第二步：创建Azure AD应用

1. 在Microsoft门户创建一个Azure账号。

   1. 进入Azure Active Directory管理中心，单击管理 Microsoft Entra ID下的查看按钮。

   2. 在弹出的概述页面，单击添加 > 应用注册。

2. 创建新的应用程序。

   1. 在注册应用程序页面输入名称，受支持的账户类型需选择任何组织目录，重定向URI选择Web。单击注册，即可创建一个新的应用程序。如下图，定义该应用名称为IDaaS。

   2. 重定向URI为上面第一步添加OIDC身份提供方时，步骤3中获取的IDaaS 授权回调 Redirect URI。

3. 完成新应用程序基本配置。

   1. 创建新应用程序后，默认进入概述页面。您可以在应用注册 > 所有应用程序下查看您所创建的应用程序。

      

      说明

      此处的应用程序（客户端）ID即为OIDC客户端配置中的Client ID。

   2. 添加客户端凭据：

      

      说明

      此处列表中的值即为OIDC客户端配置中的clientSecret值，请立即保存。

   3. 进入添加可选声明页面，添加组声明。添加完毕之后，会产生一个groups记录。

      

      同时分别对令牌类型ID与访问选择图示声明，使登录的客户端能够拿到相关令牌数据。

      

   4. 添加API的作用域。进入公开 API，分别添加作用域User.Read、User.Read.All、GroupMember.Read.All、Group.Read.All。单击添加范围，为当前这个应用客户端公开这四个权限。

      

   5. 继上一步添加完毕四个作用域后，为客户端应用程序添加授权。进入API 权限。

      

   6. 再选择应用需要对应的权限。

      

   7. 需代表当前租户管理员同意授权。

      

      说明

      客户端ID即为应用程序（客户端）ID。

4. 获取应用的OIDC协议端点访问地址信息。在应用注册 > 终结点，OIDC客户端配置中的Issuer取值通过访问OpenID Connect元数据文档获取：https://login.microsoftonline.com/common/v2.0

   

   至此，三项关键配置信息已获取完毕。

第三步：填写OIDC身份提供方信息

1. 您需要在Azure AD应用概述页中获取如下信息，填入到绑定 OIDC 身份提供方表单中。

   1. Client ID：在概述选项卡中，单击复制应用程序（客户端）ID，填写到IDaaS表单中。

   2. Client Secret：依然在概述选项卡中，单击客户端凭据，跳转到证书和密码进行客户端密码添加，将添加的密码值填写到IDaaS表单中。

   3. Issuer：在概述选项卡中，通过访问终结点-OpenID Connect 元数据文档，获取Issuer的地址，并复制该地址，填写到IDaaS表单中。

2. 在IDaaS表单中单击解析Issuer，即可自动填充各端点信息。

   

3. 确认无误后，单击下一步，进入选择场景流程，具体配置请参考选择场景。

用户登录流程

以下展示Azure AD用户的登录流程。

1. 用户访问IDaaS EIAM用户门户时，可见到该登录方式。

   

2. 单击登录方式后，将前往Azure AD进行验证。如果Azure AD账号未登录，则出现登录页面；如果已登录，则重定向至IDaaS。

   

3. 如果该Azure AD账号已绑定IDaaS账户，则可直接登录IDaaS账户；如果未绑定IDaaS账户，会有优先进行自动绑定，自动绑定失败则需要您进行手动绑定或者自动创建账户选择场景。