操作流程
创建应用
-
登录 TOPIAM 管理控制台。
-
前往 应用管理-添加应用-标准协议,点击 OIDC 模板。
-
确认应用名称,即可完成添加。
-
添加成功后,点击完善配置,进入应用管理页面完善配置
配置应用
基础配置
参数描述:
| 参数 | 是否必选 | 说明 |
|---|---|---|
| 授权模式 | 是 | 授权码模式, 令牌刷新模式,隐式模式,密码模式,设备模式 |
| PKCE(用于授权码模式) | 否 | PKCE (Proof Key for Code Exchange)是 OAuth 2.0 的安全性扩展模式,用于防护 CSRF、中间人进攻等恶意攻击。 |
| 登录 Redirect URI | 是 | 登录 Redirect URI 白名单,应用在请求登录时携带 redirect_uri 参数,该值需要在白名单中,IAM 才会在认证完成后发起跳转。若有多条,请点击添加进行扩展 |
| 登出 Redirect URI | 是 | 登出 Redirect URI 白名单,应用在请求登录时携带 post_logout_redirect_uri 参数,该值需要在白名单中,IAM 才会在认证完成后发起跳转。若有多条,请点击添加进行扩展 |
| 授权类型 | 是 | 规范应用的可使用人群范围 ,全员访问: 在 TOPIAM 中的所有账户,均可访问该应用,无需额外授权。 **手动授权:需要在应用的【访问授权】**标签中,手动分配可访问应用的组织和账户。 |
| SSO 发起方 | 是 | 用户访问由应用发起,还是支持门户发起。 |
高级配置
| 参数 | 是否必选 | 说明 |
|---|---|---|
| 用户信息范围 | 是 | 用户登录后,使用用户信息端点或解析 id_token 可以获取到的已登录用户信息。可选值:openid,email,phone,profile |
| access_token 有效期 | 是 | access_token 用于请求 IAM 接口,过期后需要使用 refresh_token 刷新,或重新登录。 |
| refresh_token 有效期 | 是 | 用于获取新的 access_token 和 id_token,refresh_token 过期后,用户需要重新登录。 |
| id_token 有效期 | 是 | 目前暂不支持修改,默认 30 分钟失效 |
| id_token 签名算法 | 是 | id_token 签名使用的非对称算法。可选值为 RS256 和 ES256 |
应用配置信息
| 参数 | 是否必选 | 说明 |
|---|---|---|
| Issuer | 是 | 用于标识 token 发放来源的字段。同时是下述接口的 baseUrl。 |
| 发现端点 | 是 | 用于获取当前 IAM 支持的各端点信息和支持的模式、参数信息,可公开访问。 |
| 授权端点 | 是 | 应用发起单点登录的地址。 |
| 令牌端点 | 是 | 应用在单点登录过程中,拿到 code 后,从后端发起换取 token 的接口地址。 |
| 令牌吊销端点 | 是 | 吊销 token 的接口地址 |
| 验签公钥端点 | 是 | 用于验证 id_token、完成 SSO 流程的公钥端点。公钥可能会轮转。 |
| 用户信息端点 | 是 | 在账户登录后,使用 access_token 调用用户信息端点,获取账户基本信息。 |
| 结束会话端点 | 是 | 结束会话端点可用于触发单点注销。 |