本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文介绍了魔笔的身份源相关功能
身份源说明
身份源用于集成已有的账号体系,被集成的账号体系内的用户可以访问魔笔搭建的应用。
每个身份源会配置一个默认权限组,通过该身份源登录时会自动将用户映射到默认权限组。
默认身份源
魔笔平台目前内置了两种身份源:阿里云账号登录(关联默认权限组 END_USER )、测试账号登录(关联默认权限组 TEST_USER )。默认身份源无法进行操作(创建、编辑、停用和删除)。
阿里云账号登录:通过阿里云的 RAM 账号登录,有关 RAM 登录的相关信息,可以参考什么是访问控制。
测试账号登录:登录界面选择测试账号后使用测试账号和密码登录。
OIDC 身份源
魔笔平台目前支持添加一个 OIDC 身份源。添加 OIDC 身份源后,在访问魔笔搭建的应用时会增加对应的 OIDC 身份源的登录选项。有关 OIDC 协议内容,可以参考OIDC 协议。
Native 身份源
魔笔平台为用户提供基于阿里云 OpenAPI 接口的 Native 身份源认证方式,开发者可以通过调用魔笔平台的 OpenAPI 完成用户登录及相应的 Token 颁发过程。 Native 身份源适用于客户端场景或被集成场景(宿主应用已经有登录态,并且希望通过 API 调用同步登录态到魔笔应用)。
魔笔 SDK 集成可参考 Android SDK 集成 和 iOS SDK 集成。
Native 身份认证流程
开发者可以通过魔笔 GenerateNativeUserToken - 生成 Native 身份源 Token 接口完成 Native 身份源认证,认证流程如下所示。
在认证过程中,魔笔会根据调用 OpenAPI 接口的阿里云 ID 校验对应的空间权限,校验通过后会进行 Native 身份源校验。为了正确完成 Native 身份源认证,开发者需要在魔笔平台正确配置 Native 身份源信息并启用。
Native 身份源关联的用户受到权限组的权限管控,开发者可在权限管理中配置具体的访问内容。
维持 Token 有效性
魔笔为开发者提供了 GenerateNativeUserToken - 生成 Native 身份源 Token 和 RefreshNativeUserToken - 刷新 Native 身份源 Token 两个 OpenAPI,分别用于生成访问魔笔服务的 Token 和刷新 Token。开发者在集成过程中,需要定时调用刷新 Token 接口完成刷新,避免 Token 失效。
调用 RefreshNativeUserToken 接口参数需要 GenerateNativeUserToken 返回的参数,请确保在调用 RefreshNativeUserToken 接口之前完成 GenerateNativeUserToken 接口的调用。
OIDC/Native 身份源配置
在身份源页,开发者可以添加一个 OIDC 身份源和一个 Native 身份源。添加后可以对身份源进行启用、停用、编辑和删除操作。新增身份源并进行配置的流程如下:
基础配置:点击添加身份源后,会显示新增身份源的弹窗,在基础配置中需要完成别名、显示名、类型和描述的配置,并选择启用状态。
OIDC 配置:如果选择的类型是 OIDC 身份源,那么在点击下一步后,会进行 OIDC 配置,开发者需要根据 OIDC 协议填写这些参数,如果选择的类型是 Native 身份源,则跳过这一步。
权限映射:如果选择的类型是 OIDC 身份源,在这一步中需要进行属性映射的配置和权限组的配置。此外,在权限组的配置中可以选择增加权限映射的规则。如果选择的类型是 Native 身份源,则只能配置默认权限组。
钉钉身份源配置
在身份源页,开发者可以添加一个钉钉身份源。
首先,用户需要根据钉钉三方登录文档前往钉钉开发者平台进行应用创建和必要的配置(完成“步骤一:创建并配置应用”及“步骤二:添加接口权限”即可)。
随后在“安全设置”中,将https://accounts.mobiapp.cloud/填写进入“重定向URL(回调域名)”输入框中:
随后在“凭证与基础信息”菜单项中,可以获取Client ID和Client Secret值。
得到上述两个值之后,返回魔笔平台,点击添加身份源:
在类型中选中“钉钉”选项卡。填写必要信息后进入下一步:
将钉钉开发者平台中获取的 Client ID 和 Client Secret 值填写入上述输入框中,点击下一步:
点击“确认”后,即完成钉钉身份源的添加。
企业微信身份源添加
在身份源页,开发者可以添加一个企业微信身份源。
首先,前往企业微信开发者平台:
点击上方菜单栏中的“应用管理”,随后在“自建”栏目中选择“创建应用”。填写表单后,进入应用详情页。
在“我的企业”选项卡中获取 Client ID :
回到应用页面,在应用详情中获取 Client Secret 与 Agent ID :
随后在下方“开发者接口”栏目中进行授权。
首先点击“企业微信授权登录”:
在“授权回调域”中填写accounts.mobiapp.cloud。
随后返回,点击“网页授权与SDK”:
将accounts.mobiapp.cloud填写进入“可信域名”中。然后点击上图中的“下载文件”,将文件名和文件内容保存,随后回到魔笔平台:
在新增身份源表单中,选择“企业微信”选项卡,填写必要信息后点击下一步:
在这个表单中填写在企业微信开发者平台中获取的信息,点击下一步:
配置权限组信息后,即可完成企业微信身份源的添加。
随后回到企业微信控制台,在“设置可信域名”中点击“确定”,下方提示“已验证”,即可配置成功。
随后在“企业可信IP”中,需要配置企业的出口IP,否则无法完成登录流程。
身份源列表
在身份源页中,开发者可以查看当前空间的所有身份源及其详细信息,包括:
身份源名称
类型
状态
默认权限组
回调地址
描述
这些信息帮助开发者了解当前空间的身份源信息。特别地,在创建身份源后,会自动生成回调地址信息,该回调地址在第一次创建身份源后保持不变,不支持修改。开发者可以使用该回调地址配置自己的 OIDC 服务器的回调地址。
身份源操作
魔笔支持对自定义的 OIDC 身份源和 Native 身份源进行启用、停用、编辑和删除操作。在身份源页的列表中,开发者可以在每一项身份源的操作选项中选择希望进行的操作。
启用和停用操作对应调整该身份源的状态,以控制是否使用该身份源。
编辑操作将对身份源的配置信息进行修改。
删除操作将删除选定的身份源。
身份源一旦删除,不可恢复,请谨慎操作。
为魔笔应用配置默认身份源
在完成身份源配置后,您可以前往魔笔应用编辑器中,在左下角点击“应用设置”按钮,在“登录配置 -> 默认身份源”中,选择您创建的身份源作为该应用的默认身份源:
