文档

自研应用 SSO 配置

更新时间:

IDaaS 支持企业自研应用接入,实现单点登录。

为了应用接入的简易型和安全性,自研应用接入需要通过 OIDC 授权码模式。为了简化理解、便于上手,IDaaS 对配置项进行了极大程度的简化。

IDaaS 侧配置

在 IDaaS 侧,仅需将应用处理单点登录请求的地址填写到 【登录 Redirect URIs】中,其他选项保持默认,即可完成基本配置。

字段

说明

举例

基本配置(必填)

登录

Redirect URI

Redirect URI 白名单。应用在请求登录时会携带 redirect_uri 参数,该值需要在白名单中,IDaaS 才会在认证完成后发起跳转。

http://www.example.com/oidc/sso

http://www.example.com/oidc/sso2

授权范围

请参考:单点登录通用说明

选择:全员可访问

高级配置(选填)

用户信息范围

scopes

用户登录后,使用用户信息端点可以获取到的已登录用户信息。

  • openid

  • email

  • phone

  • profile

多选:openid

多选:email

多选:profile

access_token

有效期

access_token 用于请求 IDaaS 接口。默认20分钟,最小5分钟,最大24小时,过期后需要使用 refresh_token 刷新,或重新登录。

20 分钟

id_token

有效期

id_token 用于鉴别用户身份,JWT 格式,允许应用使用公钥自行验证用户身份。过期后需要使用 refresh_token 刷新,或重新登录。

id_token 格式请参考:IDaaS 中的各类 token。

10 小时

refresh_token

有效期

用于获取新的 access_token 和 id_token。refresh_token 过期后,用户需要重新登录。

30 天

扩展 id_token

字段

可以通过扩展 id_token 中的 payload 字段,将用户的非敏感基本信息返回,以免需要反复调用用户信息端点。注意:payload 中添加的字段公开可见,请按需使用。

-

SSO 发起方

OIDC 协议天然支持应用发起。

若选择 支持门户和应用发起,则必须填写下个字段:门户登录发起地址。

支持门户和应用发起

登录发起地址

IDaaS 发起 SSO 请求时,访问的应用地址。该地址接收到请求,应即刻发起 /authorize 授权端口请求。

http://www.example.com/oidc/login

id_token 签名算法

id_token 签名使用的非对称算法,当前仅支持 RSA-SHA256 算法。

SHA256

登出回调地址

IDaaS 登出后,回调的应用地址白名单。应用在发起 SLO 请求时可携带 。

http://www.example.com

应用侧配置

OIDC 协议允许应用侧通过一系列 IDaaS 开放的标准接口,完成登录认证整套流程。

开放的接口说明如下:

字段名

说明

示例

Issuer

id_token 中标记令牌来源的字段。同时是下述接口的 baseUrl。

https://xxxxx.aliyunidaas.com.cn/oidc1

发现端点

Discovery

用于获取当前 IDaaS 支持的各端点信息和支持的模式、参数信息,可公开访问。

https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration

授权端点

Authorization

应用发起单点登录的地址。

https://xxxxx.aliyunidaas.com.cn/oidc/authorize

令牌端点

Token

应用在单点登录过程中,拿到授权码 code 后,从后端发起换取 token 的接口地址。

https://xxxxx.aliyunidaas.com.cn/oauth2/token

令牌吊销端点

Revocation

将已生效的特定令牌注销掉。

https://xxxxx.aliyunidaas.com.cn/oauth2/revoke

验签公钥端点

JWKS

用于验证 id_token、完成 SSO 流程的公钥端点。公钥可能会轮转。

https://xxxxx.aliyunidaas.com.cn/oidc1/slo

用户信息端点

Userinfo

登录后,使用 access_token 获取用户基本信息的端点。

https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo

退出端点

SLO

用户注销 IDaaS 主登录态。

-

对接详情请参考文档:自研应用接入 SSO

  • 本页导读 (0)
文档反馈