自研应用 SSO 配置

​

字段

说明

举例

基本配置（必填）

登录

Redirect URI

Redirect URI 白名单。应用在请求登录时会携带 redirect_uri 参数，该值需要在白名单中，IDaaS 才会在认证完成后发起跳转。

http://www.example.com/oidc/sso

http://www.example.com/oidc/sso2

授权范围

请参考：单点登录通用说明。

选择：全员可访问

高级配置（选填）

用户信息范围

scopes

用户登录后，使用用户信息端点可以获取到的已登录用户信息。

• openid

• email

• phone

• profile

多选：openid

多选：email

多选：profile

access_token

有效期

access_token 用于请求 IDaaS 接口。默认20分钟，最小5分钟，最大24小时，过期后需要使用 refresh_token 刷新，或重新登录。

20 分钟

id_token

有效期

id_token 用于鉴别用户身份，JWT 格式，允许应用使用公钥自行验证用户身份。过期后需要使用 refresh_token 刷新，或重新登录。

id_token 格式请参考：IDaaS 中的各类 token。

10 小时

refresh_token

有效期

用于获取新的 access_token 和 id_token。refresh_token 过期后，用户需要重新登录。

30 天

扩展 id_token

字段

可以通过扩展 id_token 中的 payload 字段，将用户的非敏感基本信息返回，以免需要反复调用用户信息端点。注意：payload 中添加的字段公开可见，请按需使用。

-

SSO 发起方

OIDC 协议天然支持应用发起。

若选择 支持门户和应用发起，则必须填写下个字段：门户登录发起地址。

支持门户和应用发起

登录发起地址

IDaaS 发起 SSO 请求时，访问的应用地址。该地址接收到请求，应即刻发起 /authorize 授权端口请求。

http://www.example.com/oidc/login

id_token 签名算法

id_token 签名使用的非对称算法，当前仅支持 RSA-SHA256 算法。

SHA256

登出回调地址

IDaaS 登出后，回调的应用地址白名单。应用在发起 SLO 请求时可携带 。

http://www.example.com

字段名

说明

示例

Issuer

id_token 中标记令牌来源的字段。同时是下述接口的 baseUrl。

https://xxxxx.aliyunidaas.com.cn/oidc1

发现端点

Discovery

用于获取当前 IDaaS 支持的各端点信息和支持的模式、参数信息，可公开访问。

https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration

授权端点

Authorization

应用发起单点登录的地址。

https://xxxxx.aliyunidaas.com.cn/oidc/authorize

令牌端点

Token

应用在单点登录过程中，拿到授权码 code 后，从后端发起换取 token 的接口地址。

https://xxxxx.aliyunidaas.com.cn/oauth2/token

令牌吊销端点

Revocation

将已生效的特定令牌注销掉。

https://xxxxx.aliyunidaas.com.cn/oauth2/revoke

验签公钥端点

JWKS

用于验证 id_token、完成 SSO 流程的公钥端点。公钥可能会轮转。

https://xxxxx.aliyunidaas.com.cn/oidc1/slo

用户信息端点

Userinfo

登录后，使用 access_token 获取用户基本信息的端点。

https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo

退出端点

SLO

用户注销 IDaaS 主登录态。

-