所有收藏
管理中心及系统设置
安全与策略
配置基于OIDC(OAuth 2.0)的SSO集成登录
配置基于OIDC(OAuth 2.0)的SSO集成登录
一周前更新

OAuth 2.0是一种业界标准的授权协议,允许用户授予第三方应用程序对其资源的访问权限,而无需透露其凭据。易企办支持OAuth 2.0作为自定义登录方式,使组织能够利用流行的OAuth 2.0提供者(如Google、Microsoft或Facebook)进行用户身份验证。

理解OIDC和OAuth 2.0

OIDC(OpenID Connect)和OAuth 2.0是身份管理和授权领域中用于不同目的的相关但独立的协议。以下是它们之间的区别:

OAuth 2.0:

OAuth 2.0是一种授权框架,可以代表资源所有者(用户)安全地委托访问资源。它为用户提供了一种标准化的方式,使他们可以向第三方应用程序授予对其受保护资源(如用户数据或API)的有限访问权限,而无需直接共享凭据。OAuth 2.0主要关注授权和访问控制。

OAuth 2.0涉及多个参与方:

资源所有者:拥有受保护资源并授权访问的用户。 客户端:希望代表资源所有者访问受保护资源的应用程序或服务。

授权服务器:在从资源所有者获得授权后向客户端发放访问令牌。

资源服务器:托管受保护资源并验证访问令牌,以提供对这些资源的访问。

OAuth 2.0提供了各种授权类型,例如授权码、隐式、客户端凭据和资源所有者密码凭据,每种类型都针对不同的场景。它依赖访问令牌授予访问权限,并可能涉及用于长期访问的刷新令牌。

OIDC(OpenID Connect):

OIDC是建立在OAuth 2.0之上的身份层。它在OAuth 2.0的基础上增加了身份验证组件,允许应用程序在获得授权的同时验证用户的身份。OIDC主要关注身份验证和用户身份。

OIDC引入了身份提供者(IdP)的概念,该提供者对用户进行身份验证并向客户端提供身份信息。在OIDC中最常用的身份协议是JWT(JSON Web Tokens),它表示有关用户的声明并且可以进行数字签名和验证。

与OAuth 2.0相比,OIDC包括了额外的功能:

身份验证:OIDC为客户端提供了一种标准化的方式,通过身份提供者对用户进行身份验证。

用户信息端点:OIDC引入了一个端点,供客户端检索用户属性和个人资料信息。

ID令牌:OIDC引入了ID令牌,它是包含经过身份验证的用户身份声明的JSON Web Tokens。

总之,OAuth 2.0主要关注授权和访问控制,允许客户端访问受保护的资源。OIDC建立在OAuth 2.0之上,并添加了身份验证功能,为客户端提供一种标准化的方式来验证用户并获取身份信息。

配置OIDC

要将OIDC用户身份验证配置为易企办的自定义登录方式,可以按照以下一般步骤进行操作:

获取OIDC配置详细信息联系

OIDC提供者或您要与Yeeflow集成的身份服务的管理员。请求必要的配置详细信息,包括以下内容:

  • 客户端ID:OIDC提供者分配给您的Yeeflow实例的唯一标识符。

  • 客户端秘钥:与客户端ID相关联的机密密钥或密码。

  • 属性:名称:名称属性的值可以从身份令牌的声明中提取。根据IdP的配置,名称属性可能由不同的声明名称表示,例如"name"、"displayName"或"fullName"。

  • 属性:电子邮件:电子邮件属性表示用户的电子邮件地址。它用作唯一标识符,通常用于用户沟通和识别目的。与名称属性类似,可以从身份令牌的声明中提取电子邮件属性。

访问Yeeflow管理员中心:

以系统管理员身份登录易企办,并导航到Yeeflow管理员中心。

打开登录认证设置:

在管理员中心的左侧导航菜单中,找到"登录认证"菜单并单击打开页面。

添加自定义登录方式:

找到"自定义登录方式"部分,并单击底部的"添加自定义登录方式"按钮。

选择OIDC作为登录方式:

从可用的自定义登录方式下拉列表中选择"OIDC(OAuth 2.0)",以配置OIDC作为用户身份验证的方法。

输入OIDC配置详细信息:

在弹出窗口中,输入从OIDC提供者获取的必要详细信息:

  • 名称:为此OIDC登录方式输入一个唯一的显示名称。此文本将显示在组织的登录页面上。

  • 客户端ID:粘贴分配给您的Yeeflow实例的唯一标识符。

  • 客户端秘钥:输入与客户端ID相关联的机密密钥或密码。

  • 响应类型:响应类型指定客户端(易企办)在用户进行身份验证尝试后从OIDC提供者期望接收的响应类型。它决定身份验证过程的流程和返回给客户端的令牌类型。您可以将其保留为默认值"code"。

  • 范围:范围参数定义客户端(易企办)从OIDC提供者请求的访问级别和所需的用户信息。它指定客户端在身份验证过程中需要检索的权限和声明。常用的范围包括:

  1. openid:OIDC身份验证所需的范围。它表示客户端正在请求OpenID Connect身份验证流程。

  2. profile:此范围包括用户个人资料信息,如名称、电子邮件、个人资料图片等。

  3. email:此范围请求访问用户的电子邮件地址。

  4. offline_access:此范围允许客户端获取刷新令牌,以便在不需要用户重新进行身份验证的情况下获取新的访问令牌。您可以将其保留为默认值"email openid profile"。

  • 属性:名称:输入易企办可以检索用户名的URL。

  • 属性:电子邮件:输入易企办可以检索用户电子邮件的URL。

  • 回调URL:回调URL,也称为重定向URL或答复URL,是OIDC(OpenID Connect)配置的重要组成部分。它代表OIDC提供者在成功身份验证或发生身份验证错误后将用户重定向到的URL。回调URL是客户端应用程序(在本例中为易企办)中处理OIDC提供者响应的端点。

您需要复制此URL并配置到OIDC提供者中。

保存和测试配置

点击"验证并保存"按钮以保存OIDC配置。易企办将尝试通过连接到OIDC提供者并执行测试身份验证来验证配置。如果配置有效,易企办将显示成功消息。

启用OIDC登录方式

成功保存OIDC配置后,找到"自定义登录方式"部分的OIDC方法,并通过单击更多操作菜单列表中的启用按钮启用它。

调整其他登录设置(如果需要)

您可以通过配置其他设置,如默认登录方式、登录页面自定义或启用多因素身份验证(MFA),进一步自定义登录体验。

按照这些步骤,您可以将OIDC用户身份验证配置为易企办的自定义登录方式。用户将能够使用其OIDC凭据进行身份验证,并使用其OIDC身份访问Yeeflow。

这是否解答了您的问题?