自研应用 SSO 配置
IDaaS 支持企业自研应用接入,实现单点登录。
为了应用接入的简易型和安全性,自研应用接入需要通过 OIDC 授权码模式。为了简化理解、便于上手,IDaaS 对配置项进行了极大程度的简化。
IDaaS 侧配置
在 IDaaS 侧,仅需将应用处理单点登录请求的地址填写到 【登录 Redirect URIs】中,其他选项保持默认,即可完成基本配置。
|
字段 |
说明 |
举例 |
基本配置(必填) |
登录 Redirect URI |
Redirect URI 白名单。应用在请求登录时会携带 redirect_uri 参数,该值需要在白名单中,IDaaS 才会在认证完成后发起跳转。 |
http://www.example.com/oidc/sso http://www.example.com/oidc/sso2 |
授权范围 |
请参考:单点登录通用说明。 |
选择:全员可访问 |
|
高级配置(选填) |
用户信息范围 scopes |
用户登录后,使用用户信息端点可以获取到的已登录用户信息。
|
多选:openid 多选:email 多选:profile |
access_token 有效期 |
access_token 用于请求 IDaaS 接口。默认20分钟,最小5分钟,最大24小时,过期后需要使用 refresh_token 刷新,或重新登录。 |
20 分钟 |
|
id_token 有效期 |
id_token 用于鉴别用户身份,JWT 格式,允许应用使用公钥自行验证用户身份。过期后需要使用 refresh_token 刷新,或重新登录。 id_token 格式请参考:IDaaS 中的各类 token。 |
10 小时 |
|
refresh_token 有效期 |
用于获取新的 access_token 和 id_token。refresh_token 过期后,用户需要重新登录。 |
30 天 |
|
扩展 id_token 字段 |
可以通过扩展 id_token 中的 payload 字段,将用户的非敏感基本信息返回,以免需要反复调用用户信息端点。注意:payload 中添加的字段公开可见,请按需使用。 |
- |
|
SSO 发起方 |
OIDC 协议天然支持应用发起。 若选择 |
支持门户和应用发起 |
|
登录发起地址 |
IDaaS 发起 SSO 请求时,访问的应用地址。该地址接收到请求,应即刻发起 /authorize 授权端口请求。 |
http://www.example.com/oidc/login |
|
id_token 签名算法 |
id_token 签名使用的非对称算法,当前仅支持 RSA-SHA256 算法。 |
SHA256 |
|
登出回调地址 |
IDaaS 登出后,回调的应用地址白名单。应用在发起 SLO 请求时可携带 。 |
http://www.example.com |
应用侧配置
OIDC 协议允许应用侧通过一系列 IDaaS 开放的标准接口,完成登录认证整套流程。
开放的接口说明如下:
字段名 |
说明 |
示例 |
Issuer |
id_token 中标记令牌来源的字段。同时是下述接口的 baseUrl。 |
https://xxxxx.aliyunidaas.com.cn/oidc1 |
发现端点 Discovery |
用于获取当前 IDaaS 支持的各端点信息和支持的模式、参数信息,可公开访问。 |
https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration |
授权端点 Authorization |
应用发起单点登录的地址。 |
https://xxxxx.aliyunidaas.com.cn/oidc/authorize |
令牌端点 Token |
应用在单点登录过程中,拿到授权码 code 后,从后端发起换取 token 的接口地址。 |
https://xxxxx.aliyunidaas.com.cn/oauth2/token |
令牌吊销端点 Revocation |
将已生效的特定令牌注销掉。 |
https://xxxxx.aliyunidaas.com.cn/oauth2/revoke |
验签公钥端点 JWKS |
用于验证 id_token、完成 SSO 流程的公钥端点。公钥可能会轮转。 |
https://xxxxx.aliyunidaas.com.cn/oidc1/slo |
用户信息端点 Userinfo |
登录后,使用 access_token 获取用户基本信息的端点。 |
https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo |
退出端点 SLO |
用户注销 IDaaS 主登录态。 |
- |
对接详情请参考文档:自研应用接入 SSO。