跳转至

OIDC

此处默认为标准的 OIDC 配置。如果您不是标准的 OIDC 配置,您可切换页面进行配置

开始配置

  1. 身份提供商名称:提供身份管理服务的平台名称。
  2. 备注:用户可自定义添加的描述信息,用于记录身份提供商的相关说明。
  3. 身份提供商 URL:身份提供商的完整 URL,也是服务发现地址。例如:https://guance.example.com。
  4. 客户端 ID:由认证服务提供的唯一标识符,用于识别客户端应用程序。
  5. 客户端密钥:与客户端 ID 联合使用,用于对客户端应用程序进行身份验证。
  6. 授权请求 Scope:授权请求的范围。默认包含 openidprofileemail,可根据需要额外添加 addressphone 声明。

映射配置

实现 SSO 登录需将身份提供商(IdP)的账号信息与观测云账号信息进行字段映射。主要字段如下:

  1. 用户名:必填;身份提供商的 “用户名” 字段,例如 referred_username
  2. 邮件:必填;身份提供商的 “邮箱” 字段,例如 email
  3. 手机号:非必填;身份提供商的 “手机号” 字段,例如 phone

登录控制

  1. 访问限制:校验登录邮箱的域名后缀是否与配置的域名匹配。匹配的邮箱才有权限访问 SSO 登录链接。用户首次登录时可动态创建观测云成员账号,无需提前在工作空间内创建。
  2. 角色授权:为首次登录的 SSO 账号分配角色,非首次登录的账号不受影响。
    • 若工作空间内启用 SAML 映射,则优先按映射规则分配角色。
  3. 会话保持:设置 SSO 登录会话的无操作保持时间和最大保持时间。
用户侧配置 OIDC 相关注意事项
  • 授权模式:仅支持 authorization_code 授权模式;其返回类型必须是 code
  • id_token 签名算法:目前只支持 HS256

  • code 换取 token 身份验证方式:

    • 默认支持:client_secret_basic
    • 自定义方式支持: client_secret_postclient_secret_basicnone

  • scope 范围:

    • 默认范围:openidprofileemailphone

    • 自定义要求:必须包含 openid,其他可自定义,但返回结果中必须包含 email,可选返回 phone_number

非 OIDC 标准配置

如何理解 OIDC 非标准配置?

非标准配置情况的发生一般是由于客户侧使用的 Oauth2 进行身份认证,然而 Oauth2 协议并没有约定获取账号信息的接口,这导致获取用户信息这一步存在千差万别,毕竟信息是成功建立映射关系的关键;另外,由于各个客户侧接口设计的规则不同,可能导致协议中约定的参数大小写风格不一致,此种情况下也是非标准。

  1. 进入管理 > 成员管理 > SSO 管理 > OIDC > 新建身份提供商
  2. 点击右上角即可切换进入标准的 OIDC 配置页面;
  3. 身份提供商名称:提供身份管理服务的平台名称;
  4. 配置文件上传:点击下载模板,补充相关信息后上传;
  5. 备注:自定义添加的描述信息,用于记录身份提供商的相关说明;
  6. 登录配置

获取 URL

身份提供商添加成功后,可获取回调 URL发起登录 URL

字段 描述
回调 URL OIDC 协议中约定的认证通过后的回调地址,用于接收身份提供商的认证响应。
发起登录 URL 从观测云端启动 OIDC 登录流程的入口地址,由身份提供商提供。

获取上述两个 URL 后,需将其提供给身份提供商。

文档评价

文档内容是否对您有帮助? ×