OAuth 2.0 集成

本文主要介绍通过 OAuth 2.0 认证协议实现云效单点登录。

适用版本

专属版

创建范围外用户

站点管理员可以在站点管理 > 第三方集成中配置和管理 OAuth 2.0 。如果需要创建不在 OAuth 2.0 中的用户,可以勾选支持内建用户,以创建同步范围外的用户

1-3

配置 OAuth 2.0

步骤一: 配置OAuth Client

在配置 OAuth 2.0 之前,需按页面提示创建 OAuth 2.0 Client,确认是否跳过 HTTPS 验证,并将 OAuth 2.0 Client 的相关信息填写到表单中。

  • Client ID

  • Client Secret

  • Auth URL

  • Token URL

  • User Info URL

1-3

填写完成后,单击下一步

步骤二:配置账号绑定与属性映射

目前提供 4 种账号识别和绑定方式:

  • 自动绑定邮箱相同的账号;

  • 自动绑定登录账号相同的账号;

  • 自动绑定手机号相同的账号;

  • 自动绑定工号相同的账号;

按照同步策略,自动将云效、OAuth 2.0 中相同属性的用户绑定在一起。请确保所选属性字段的唯一性和存在性。

接下来需配置用户属性映射的字段,云效将按照下图中的设置进行信息映射。

1-3

填写完成,单击下一步

步骤三:开启单点登录服务

在配置过程中,单点登录的功能默认不开启,开启后,可进行 OAuth 2.0 单点登录相关配置:

  • 将云效的回调地址配置到 OAuth 2.0 Client 中。

  • 修改 OAuth 2.0 显示名称和显示图标,修改后云效系统将按照修改的内容显示 OAuth 2.0 的信息。

  • 允许开启首次登录时创建云效账号:

    • 默认不勾选:仅允许 OAuth 2.0 账号与云效账号绑定,无法匹配时不会创建新账号。

    • 勾选后:允许在 OAuth 2.0 账号无法匹配到云效账号时,创建新账号并绑定。

1-3

如果选择不开启单点登录,也可保存配置,后续可在 Oauth 2.0 集成详情页面中开启服务。

1-3

完成所有配置后,单击保存配置按钮即可完成 OAuth 2.0 集成的配置。

通过 OAuth 2.0 登录云效

开启单点登录后,云效登录页面将显示 OAuth 2.0 登录入口。点击该入口,已绑定 OAuth 2.0 账号的用户可以通过该账号登录。

1-3

退出登录

如果勾选了登出态同步(SLO),用户在云效退出登录时,会同时退出 OAuth 2.0 IdP 的登录状态。

会话持续时间和时长

会话持续时间以云效设置的为准,若超过云效设置的登录保持时间,会退出云效,如需继续使用云效需要重新登录。

修改 OAuth 2.0 配置

在 OAuth 2.0 集成详情页,有查看/修改配置入口,单击后在抽屉中修改非必填的用户属性映 射信息,其他配置信息不允许修改。

关闭单点登录服务

在 OAuth 2.0 集成详情页,已经开启单点登录时,单击修改服务配置,在打开的抽屉中关闭单点登录服务,关闭后:

  • 云效账号与 OAuth 2.0 账号的绑定关系不会解除;

  • 无法通过 OAuth 2.0 账号登录云效,需使用云效的登录账号和密码。

移除 OAuth 2.0 集成

在 Oauth 2.0 集成详情页,单击移除集成按钮并确认,即可移除 Oauth 2.0 集成。移除后:

  • 解除云效账号和 OAuth 2.0 账号的绑定关系。

  • 不支持通过 OAuth 2.0 登录云效,如有需求用户可使用云效账号和密码登录。