本文主要介绍通过 OAuth 2.0 认证协议实现云效单点登录。
适用版本 | 专属版 |
创建范围外用户
站点管理员可以在中配置和管理 OAuth 2.0 。如果需要创建不在 OAuth 2.0 中的用户,可以勾选支持内建用户,可以创建同步范围外的用户。
配置 OAuth 2.0
步骤一: 配置OAuth Client
在配置 OAuth 2.0 之前,需按页面提示创建 OAuth 2.0 Client,确认是否跳过 HTTPS 验证,并将 OAuth 2.0 Client 的相关信息填写到表单中。
Client ID
Client Secret
Auth URL
Token URL
User Info URL
填写完成后,单击下一步。
步骤二:配置账号绑定与属性映射
目前提供 4 种账号识别和绑定方式:
自动绑定邮箱相同的账号;
自动绑定登录账号相同的账号;
自动绑定手机号相同的账号;
自动绑定工号相同的账号;
按照同步策略,自动将云效、OAuth 2.0 中相同属性的用户绑定在一起。请确保所选属性字段的唯一性和存在性。
接下来需配置用户属性映射的字段,云效将按照下图中的设置进行信息映射。
填写完成,单击下一步。
步骤三:开启单点登录服务
在配置过程中,单点登录的功能默认不开启,开启后,可进行 OAuth 2.0 单点登录相关配置:
将云效的回调地址配置到 OAuth 2.0 Client 中。
修改 OAuth 2.0 显示名称和显示图标,修改后云效系统将按照修改的内容显示 OAuth 2.0 的信息。
允许开启首次登录时创建云效账号:
默认不勾选:仅允许 OAuth 2.0 账号与云效账号绑定,无法匹配时不会创建新账号。
勾选后:允许在 OAuth 2.0 账号无法匹配到云效账号时,创建新账号并绑定。
如果选择不开启单点登录,也可保存配置,后续可在 Oauth 2.0 集成详情页面中开启服务。
完成所有配置后,单击保存配置按钮即可完成 OAuth 2.0 集成的配置。
通过 OAuth 2.0 登录云效
开启单点登录后,云效登录页面将显示 OAuth 2.0 登录入口。点击该入口,已绑定 OAuth 2.0 账号的用户可以通过该账号登录。
退出登录
如果勾选了登出态同步(SLO),用户在云效退出登录时,会同时退出 OAuth 2.0 IdP 的登录状态。
会话持续时间和时长
会话持续时间以云效设置的为准,若超过云效设置的登录保持时间,会退出云效,如需继续使用云效需要重新登录。
修改 OAuth 2.0 配置
在 OAuth 2.0 集成详情页,有查看/修改配置入口,单击后在抽屉中修改非必填的用户属性映 射信息,其他配置信息不允许修改。
关闭单点登录服务
在 OAuth 2.0 集成详情页,已经开启单点登录时,单击修改服务配置,在打开的抽屉中关闭单点登录服务,关闭后:
云效账号与 OAuth 2.0 账号的绑定关系不会解除;
无法通过 OAuth 2.0 账号登录云效,需使用云效的登录账号和密码。
移除 OAuth 2.0 集成
在 Oauth 2.0 集成详情页,单击移除集成按钮并确认,即可移除 Oauth 2.0 集成。移除后:
解除云效账号和 OAuth 2.0 账号的绑定关系。
不支持通过 OAuth 2.0 登录云效,如有需求用户可使用云效账号和密码登录。