配置OIDC认证源
更新时间:2021-11-24
本文主要介绍如何配置OIDC协议企业目录认证源。
操作步骤
创建OIDC认证源
- 进入 IDaaS项目 > 认证 > 认证源;
- 点击 创建认证源,选择认证协议为OIDC,填写如下配置信息:
| 字段 | 必填 | 说明 |
|---|---|---|
| 认证源名称 | 是 | IDaaS项目内唯一 |
| 描述 | 否 | 认证源补充说明 |
| 协议类型 | 是 | 选择OIDC |
| 认证映射字段 | 是 | IDaaS默认使用用户ID作为映射字段,即使用用户ID作为认证源账号与IDaaS用户的绑定关系字段 |
| 委托认证部门 | 是 | 默认选择root,对所选部门及其子部门内的所有用户进行委托认证 |
| Client ID | 是 | 认证源颁发的客户端ID |
| Client Secret | 是 | 认证源颁发的客户端密钥 |
| Discovery EndPoint | 是 | 用于获取认证源的元数据,包括签名公钥、Token交换EndPoint等 |
- 点击保存,系统会自动验证Discovery EndPoint的有效性,验证通过,则保存成功,认证源默认为禁用状态,需要在认证源列表中切换到启用后,可开启OIDC认证;点击保存并启用,除上述验证外,直接启用该认证源。
查看并配置用户绑定关系
认证源绑定关系定义了企业认证源中账号与IDaaS用户的一一映射关系,账号信息的同步、单点登录都是基于用户的绑定关系。
本节介绍如何手动配置认证源账号到IDaaS用户的绑定关系,如下是详细步骤:
- 进入IDaaS项目 > 认证 > 认证源 > oidctest > 管理 > 绑定关系;
- 点击添加绑定关系,填写认证源用户ID,用户名选择已有的IDaaS用户,点击确认完成添加。
注意:一个认证源账号仅能与一个IDaaS用户建立绑定关系。
- 您也可以对已建立的绑定关系进行解绑操作,需要注意的是,解绑后的用户
- 即使配置了系统的自动同步,也不会自动建立新的绑定关系
- 无法进行信息的自动更新和同步
- 无法进行单点登录
除非再次手动进行绑定关系的添加。
使用OIDC认证源账号登录IDaaS工作台
完成以上配置后,您可以进行登录验证:
- 进入IDaaS概览页,在登录信息中获取登录地址,并复制;
- 新开浏览器窗口,打开IDaaS项目的登录地址,点击“OIDC”图标,进入OIDC认证源登录页;
- 使用OIDC认证源账号的用户名密码登录。
