OAuth 2.0是一种业界标准的授权协议,允许用户授予第三方应用程序对其资源的访问权限,而无需透露其凭据。易企办支持OAuth 2.0作为自定义登录方式,使组织能够利用流行的OAuth 2.0提供者(如Google、Microsoft或Facebook)进行用户身份验证。
理解OIDC和OAuth 2.0
OIDC(OpenID Connect)和OAuth 2.0是身份管理和授权领域中用于不同目的的相关但独立的协议。以下是它们之间的区别:
OAuth 2.0:
OAuth 2.0是一种授权框架,可以代表资源所有者(用户)安全地委托访问资源。它为用户提供了一种标准化的方式,使他们可以向第三方应用程序授予对其受保护资源(如用户数据或API)的有限访问权限,而无需直接共享凭据。OAuth 2.0主要关注授权和访问控制。
OAuth 2.0涉及多个参与方:
资源所有者:拥有受保护资源并授权访问的用户。 客户端:希望代表资源所有者访问受保护资源的应用程序或服务。
授权服务器:在从资源所有者获得授权后向客户端发放访问令牌。
资源服务器:托管受保护资源并验证访问令牌,以提供对这些资源的访问。
OAuth 2.0提供了各种授权类型,例如授权码、隐式、客户端凭据和资源所有者密码凭据,每种类型都针对不同的场景。它依赖访问令牌授予访问权限,并可能涉及用于长期访问的刷新令牌。
OIDC(OpenID Connect):
OIDC是建立在OAuth 2.0之上的身份层。它在OAuth 2.0的基础上增加了身份验证组件,允许应用程序在获得授权的同时验证用户的身份。OIDC主要关注身份验证和用户身份。
OIDC引入了身份提供者(IdP)的概念,该提供者对用户进行身份验证并向客户端提供身份信息。在OIDC中最常用的身份协议是JWT(JSON Web Tokens),它表示有关用户的声明并且可以进行数字签名和验证。
与OAuth 2.0相比,OIDC包括了额外的功能:
身份验证:OIDC为客户端提供了一种标准化的方式,通过身份提供者对用户进行身份验证。
用户信息端点:OIDC引入了一个端点,供客户端检索用户属性和个人资料信息。
ID令牌:OIDC引入了ID令牌,它是包含经过身份验证的用户身份声明的JSON Web Tokens。
总之,OAuth 2.0主要关注授权和访问控制,允许客户端访问受保护的资源。OIDC建立在OAuth 2.0之上,并添加了身份验证功能,为客户端提供一种标准化的方式来验证用户并获取身份信息。
配置OIDC
要将OIDC用户身份验证配置为易企办的自定义登录方式,可以按照以下一般步骤进行操作:
获取OIDC配置详细信息联系
OIDC提供者或您要与Yeeflow集成的身份服务的管理员。请求必要的配置详细信息,包括以下内容:
客户端ID:OIDC提供者分配给您的Yeeflow实例的唯一标识符。
客户端秘钥:与客户端ID相关联的机密密钥或密码。
属性:名称:名称属性的值可以从身份令牌的声明中提取。根据IdP的配置,名称属性可能由不同的声明名称表示,例如"name"、"displayName"或"fullName"。
属性:电子邮件:电子邮件属性表示用户的电子邮件地址。它用作唯一标识符,通常用于用户沟通和识别目的。与名称属性类似,可以从身份令牌的声明中提取电子邮件属性。
访问Yeeflow管理员中心:
以系统管理员身份登录易企办,并导航到Yeeflow管理员中心。
打开登录认证设置:
在管理员中心的左侧导航菜单中,找到"登录认证"菜单并单击打开页面。
添加自定义登录方式:
找到"自定义登录方式"部分,并单击底部的"添加自定义登录方式"按钮。
选择OIDC作为登录方式:
从可用的自定义登录方式下拉列表中选择"OIDC(OAuth 2.0)",以配置OIDC作为用户身份验证的方法。
输入OIDC配置详细信息:
在弹出窗口中,输入从OIDC提供者获取的必要详细信息:
名称:为此OIDC登录方式输入一个唯一的显示名称。此文本将显示在组织的登录页面上。
客户端ID:粘贴分配给您的Yeeflow实例的唯一标识符。
客户端秘钥:输入与客户端ID相关联的机密密钥或密码。
响应类型:响应类型指定客户端(易企办)在用户进行身份验证尝试后从OIDC提供者期望接收的响应类型。它决定身份验证过程的流程和返回给客户端的令牌类型。您可以将其保留为默认值"code"。
范围:范围参数定义客户端(易企办)从OIDC提供者请求的访问级别和所需的用户信息。它指定客户端在身份验证过程中需要检索的权限和声明。常用的范围包括:
openid:OIDC身份验证所需的范围。它表示客户端正在请求OpenID Connect身份验证流程。
profile:此范围包括用户个人资料信息,如名称、电子邮件、个人资料图片等。
email:此范围请求访问用户的电子邮件地址。
offline_access:此范围允许客户端获取刷新令牌,以便在不需要用户重新进行身份验证的情况下获取新的访问令牌。您可以将其保留为默认值"email openid profile"。
属性:名称:输入易企办可以检索用户名的URL。
属性:电子邮件:输入易企办可以检索用户电子邮件的URL。
回调URL:回调URL,也称为重定向URL或答复URL,是OIDC(OpenID Connect)配置的重要组成部分。它代表OIDC提供者在成功身份验证或发生身份验证错误后将用户重定向到的URL。回调URL是客户端应用程序(在本例中为易企办)中处理OIDC提供者响应的端点。
您需要复制此URL并配置到OIDC提供者中。
保存和测试配置
点击"验证并保存"按钮以保存OIDC配置。易企办将尝试通过连接到OIDC提供者并执行测试身份验证来验证配置。如果配置有效,易企办将显示成功消息。
启用OIDC登录方式
成功保存OIDC配置后,找到"自定义登录方式"部分的OIDC方法,并通过单击更多操作菜单列表中的启用按钮启用它。
调整其他登录设置(如果需要)
您可以通过配置其他设置,如默认登录方式、登录页面自定义或启用多因素身份验证(MFA),进一步自定义登录体验。
按照这些步骤,您可以将OIDC用户身份验证配置为易企办的自定义登录方式。用户将能够使用其OIDC凭据进行身份验证,并使用其OIDC身份访问Yeeflow。