绑定Microsoft Entra ID（Azure AD）

步骤一：创建Azure AD应用

1. 创建新的应用程序。

   1. 进入Azure Active Directory管理中心，在顶部搜索框输入管理 Microsoft Entra ID，单击服务下的搜索结果。

   2. 在弹出的概述页面，单击添加 > 应用注册。

   3. 在注册应用程序页面输入名称，受支持的账户类型需选择任何组织目录，重定向URI选择Web。单击注册，即可创建一个新的应用程序。定义该应用名称为IDaaS。

   4. 重定向URI为步骤三中获取的IDaaS 授权回调 Redirect URI。

      

2. 完成新应用程序基本配置。

   1. 创建新应用程序后，默认进入概述页面。您可以在应用注册 > 所有应用程序下查看您所创建的应用程序。

      

      说明

      此处的应用程序（客户端）ID即为OIDC客户端配置中的Client ID。

   2. 添加客户端凭据。

      

      

      说明

      此处列表中的值即为OIDC客户端配置中的Client Secret值，请立即保存。

3. 获取应用的OIDC协议端点访问地址信息。

   在应用注册 > 终结点，OIDC客户端配置中的Issuer取值通过访问OpenID Connect元数据文档获取：https://login.microsoftonline.com/common/v2.0

   

   至此，三项关键配置信息已获取完毕。

步骤二：开始绑定流程

1. 登录IDaaS控制台，选择对应的IDaaS实例，单击操作列的访问控制台。

2. 在身份提供方菜单中单击其他身份提供方 > OIDC身份提供方，开始绑定流程。

   

步骤三：绑定 OIDC 身份提供方

1. 基础信息。

   1. 登录方式图标：上传身份提供方显示图标，必须为 PNG/JPG 格式，大小不超过1MB。建议使用 256*256 像素方形图标。登录方式图标将会显示在登录页中。

   2. 显示名称：填写显示名称，展示在登录页中的登录方式名称。首次填写和修改时，将自动进行审核（期间显示默认名称或现有名称），审核通过后自动更新。

2. 网络配置

   1. 网络端点：根据实际需求选择共享端点或专属端点。详情请参见：网络端点。

3. 登录配置

   1. 授权模式：选择使用的 OIDC 授权模式，最常用的是授权码模式。PKCE是额外的安全验证，您可以选择性勾选。

   2. 认证模式：选择任意一个均可。

      1. client_secret_post：在调用授权端点时，在 POST 请求包中附加密钥信息。常用选项。

      2. client_secret_basic：在请求的 Authorization Header 中传递编码后的密钥信息。

   3. Client ID：在步骤一创建的应用概述选项卡中，单击复制应用程序（客户端）ID，填写到IDaaS表单中。

   4. Client Secret：在步骤一创建的应用概述选项卡中，单击客户端凭据，跳转到证书和密码进行客户端密码添加，将添加的密码值填写到IDaaS表单中。

   5. Scopes：根据您的需求选择对应的Scopes信息。如您需要拉取邮箱字段则email需勾选。

4. 端点配置

   1. Issuer：在步骤一中获取应用的OIDC协议端点访问地址，通过访问终结点 > OpenID Connect 元数据文档，获取Issuer的地址，并复制该地址，填写到IDaaS表单中。

   2. 在IDaaS表单中单击解析Issuer，即可自动填充各端点信息。

      

   3. 确认无误后，单击下一步，进入选择场景流程，具体配置请参考选择场景。

   4. IDaaS 授权回调 Redirect URI：您需要将地址填写到 OIDC 服务（步骤一的重定向URI）中。

步骤四：验证用户登录流程

以下展示Azure AD用户的登录流程。

1. 用户访问IDaaS EIAM用户门户时，可见到该登录方式。

   

2. 单击登录方式后，将前往Azure AD进行验证。如果Azure AD账号未登录，则出现登录页面；如果已登录，则重定向至IDaaS。

   

3. 如果该Azure AD账号已绑定IDaaS账户，则可直接登录IDaaS账户；如果未绑定IDaaS账户，会有优先进行自动绑定，自动绑定失败则需要您进行手动绑定或者自动创建账户选择场景。