本指南介绍了如何将 OIDC 集成到您的应用程序中,包括配置步骤和注意事项。
|
适用版本 |
专属版 |
背景信息
OIDC(OpenID Connect)是一种基于OAuth 2.0的身份验证协议,旨在为应用程序提供简单且安全的用户身份验证和授权机制。它扩展了OAuth 2.0,增加了身份层,使得客户端可以验证用户身份并获取基本的用户信息。
创建范围外用户
企业管理员可以在中配置和管理 OIDC 集成。如果需要创建不在 OIDC 中的用户,可以勾选支持内建用户,可以创建同步范围外的用户。
配置 OIDC
步骤一: 配置 OIDC Client
在配置 OIDC 之前,请确保 OIDC Client 已经完整创建,并将 OIDC Client 的以下信息填写到表单输入框中:
-
Client ID。
-
Client Secret。
-
Issuer URL。
页面提供登录回调地址 https://lingm-intl-dev-ap-southeast-1.rdc.alibabacloudcs.com/users/callback/oidc,需将其复制到 OIDC 提供方完成配置。如需跳过证书校验,可开启跳过 https 验证开关。
填写完成后,单击下一步。
步骤二: 配置账号绑定与属性映射
目前提供四种账号识别和绑定方式:
-
自动绑定邮箱相同的账号。
-
自动绑定登录账号相同的账号。
-
自动绑定与手机号相同的账号。
-
自动绑定工号相同的账号。
请确保所选方式的属性字段唯一且存在,Qoder CN将按此进行账号匹配。选择自动绑定邮箱相同的账号的绑定过程:
接下来配置用户属性映射字段,Qoder CN将按下图设置的映射关系进行信息映射。
填写账号唯一标识(用于判定账号唯一的 OIDC 用户属性,提交配置后不可修改)。默认用户属性映射关系为:姓名→name、登录账号→user_name、邮箱→email、手机→mobile、工号→employId、昵称→nickname。
填写完成后,单击下一步。
步骤三: 开启单点登录服务
在配置过程中,单点登录的功能默认不开启,开启后,可进行 OIDC 单点登录相关配置:
-
将Qoder CN的回调地址配置到 OIDC Client 中。
-
修改 OIDC 显示名称和显示图标,修改后Qoder CN系统将按照修改的内容显示 OIDC 的信息。
-
允许首次登录时创建Qoder CN账号:
-
默认不勾选:绑定已有Qoder CN账号,无法匹配时不会创建新账号。
-
勾选后:允许在无法匹配时创建新Qoder CN账号并绑定。
-
如果选择不开启单点登录,也可保存配置,后续可以在 OIDC 集成详情页面中开启服务。
在单点登录区域,单击开启服务。
完成所有配置后,点击保存按钮即可。
通过 OIDC 登录Qoder CN
开启单点登录后,Qoder CN登录页面显示 OIDC 登录入口。点击后进入 OIDC 账号登录页面,已绑定 OIDC 账号的用户可以登录。
退出登录
在Qoder CN退出时,您会同时退出 OIDC IdP 的登录态。
会话持续时间和时长
会话持续时间以Qoder CN设置的为准。若超过设置的登录保持时间,会退出Qoder CN。您可以重新登录以继续使用。
修改 OIDC 配置
在 OIDC 集成详情页,单击查看/修改配置,在抽屉中修改用户属性映射信息,其他配置信息不可修改。
关闭单点登录服务
在 OIDC 集成详情页中,已经开启单点登录的情况下,单击修改服务配置,在打开的抽屉中关闭单点登录服务。关闭单点登录后:
-
不会解除Qoder CN账号与 OIDC 账号的绑定关系;
-
不支持通过 OIDC 账号登录Qoder CN,用户若需要登录Qoder CN,可使用Qoder CN的登录账号和密码进行登录。
移除 OIDC 集成
在 OIDC 集成详情页中,可单击移除集成按钮,二次确认后即可移除 OIDC 集成,移除集成后:
-
解除Qoder CN账号和 OIDC 账号的绑定关系。
-
不支持通过 OIDC 登录Qoder CN,用户若需要登录Qoder CN,可使用Qoder CN的登录账号和密码进行登录。