适用版本 | 专属版 |
Oauth 2.0 集成可以通过集成 Oauth 2.0 连接企业的身份验证服务,实现单点登录。
站点管理员可以在站点管理-第三方集成中配置和管理 Oauth 2.0 集成。如果需要创建不在 Oauth 2.0 中的用户,可以勾选支持内建用户,可以创建同步范围外的用户。
配置 Oauth 2.0
步骤一 配置 Oauth 2.0 Client
在配置 Oauth 2.0 之前,请预先按页面提示的信息创建 Oauth 2.0 Client ,确认是否跳过 https 验证,并将 Oauth 2.0 Client 的以下信息填写到表单输入框中:
Client ID
Client Secret
Auth URL
Token URL
User Info URL
填写完成后,单击下一步。
步骤二 配置账号绑定与属性映射
目前提供种 4 种账号识别和绑定方式:
自动绑定邮箱相同的账号:按照同步策略,自动将云效、Oauth 2.0 中邮箱账号相同的用户绑定在一起;
自动绑定登录账号相同的账号:按照同步策略,自动将云效、Oauth 2.0 中登录账号相同的用户绑定在一起;
自动绑定手机号相同的账号:按照同步策略,自动将云效、Oauth 2.0 中手机号相同的用户绑定在一起;
自动绑定工号相同的账号:按照同步策略,自动将云效、Oauth 2.0 中工号相同的用户绑定在一起。
无论选择哪一种账号识别和绑定方式,均需要保证其对应的属性字段的唯一性和存在性,因为云效将按照选择的方式进行账号的一一匹配。
接下来需配置用户属性映射的字段,云效将按照下图中设置的用户属性字段映射关系进行信息映射。
填写完成后,单击下一步。
步骤三 开启单点登录服务
在配置过程中,单点登录的功能默认不开启,开启后,可进行 Oauth 2.0 单点登录相关配置:
将云效的回调地址配置到 Oauth 2.0 Client 中;
修改 Oauth 2.0 显示名称和显示图标,修改后云效系统上将按照修改的内容显示 Oauth 2.0 的信息;
允许开启首次登录时创建云效账号:
默认不勾选:登录时仅允许 Oauth 2.0 账号与云效账号进行绑定,匹配不到云效账号时,云效不会根据 Oauth 2.0 账号创建云效账号;
勾选后:允许在 OIDCOauth 2.0账号登录云效且 Oauth 2.0 账号无法匹配到云效账号时,云效创建新的云效账号与之绑定。
如果选择不开启单点登录,也可保存配置,后续可以在 Oauth 2.0 集成详情页面中开启服务。
当完成所有配置后,单击保存配置按钮即可完成 Oauth 2.0 集成的配置。
通过 Oauth 2.0 登录云效
开启单点登录后,云效登录页面将显示 Oauth 2.0 登录入口,点击后可进入 Oauth 2.0 账号登录页面,已绑定 Oauth 2.0 账号的用户可以通过 Oauth 2.0 账号登录。
退出登录
如设置勾选开启了开启登出态同步(SLO),用户在云效退出登录时,会同时退出 Oauth 2.0 IdP 的登录态。
会话持续时间和时长
会话持续时间以云效设置的为准,若超过云效设置的登录保持时间,会退出云效,如需继续使用云效需要重新登录。
修改 Oauth 2.0 配置
在 Oauth 2.0 集成详情页中,可以看到查看/修改配置入口,单击后即可在抽屉中修改非填的用户属性映射信息,其他配置信息不允许修改。
关闭单点登录服务
在 Oauth 2.0 集成详情页中,已经开启单点登录的情况下,可单击修改服务配置,在打开的修改配置的抽屉中可以关闭单点登录服务,关闭单点登录后:
不会解除云效账号与 Oauth 2.0 账号的绑定关系;
不支持通过 Oauth 2.0 账号登录云效,用户若需要登录云效,可使用云效的登录账号和密码进行登录。
移除 Oauth 2.0 集成
在 Oauth 2.0 集成详情页中,可单击移除集成按钮,二次确认后即可移除 Oauth 2.0 集成,移除集成后:
解除云效账号和 Oauth 2.0 账号的绑定关系;
不支持通过 Oauth 2.0 登录云效,用户若需要登录云效,可使用云效的登录账号和密码进行登录。