功能概述
飞天云信IDaaS预集成国内外众多主流应用,通过SAML2、OIDC、OAuth2.0等国际标准化协议,满足企业BS应用、CS应用,以及自研应用等的单点登录,助力企业实现更高效、更安全的企业连接。提供标准的应用集成接口,用户通过简单的系统引导配置便可轻松实现标准业务应用的集成。
1. 添加自建应用
1.1 以IT管理员账号登录 飞天云信IDaaS管理平台;
1.2 在【应用管理】-【企业应用列表】右侧页面可以查看当前企业所有的应用系统;
1.3 点击【添加应用】按钮,选择添加自建应用或者集成应用;
1.4 选择【自建应用】,按要求填入信息后保存,即可在企业应用列表看到新添加的应用系统。
字段说明:
| 字段 | 字段说明 |
|---|---|
| 应用图标 | 你的应用图标 |
| 应用名称 | 你的应用名称 |
| 认证地址 | 选择一个二级域名,必须为合法的域名格式,例如 my-awesome-app |
| 用户标识 | 访问应用时充当用户标识的属性 |
| 默认协议类型 | 选择使用的登录协议 |
| 登录回调URL | 此链接需要填写你的业务回调地址,用户在此应用登录之后,浏览器将会跳转到这个地址,你可以在这里获取用户信息。 示例:https://myawesomeapp.com/login/callback |
| 回调地址 | 登出回调 URL地址 |
| 授权模式 | 如果开启 implicit,请确保回调地址全部为 https |
| 返回类型 | code 代表支持返回授权码,token 代表支持返回 Access token,id_token 代表支持返回 Id token |
| id_token 签名算法 | 选择 RS256 需要使用公钥验签,HS256 需要使用应用 Secret 验签 |
| 启用 id_token 加密 | 开启后,会返回加密的 ID Token,你需要先使用私钥解密 ID Token,再验证其签名。注意,开关此选项会对你的现有系统造成影响。 |
| 授权码过期时间 | 兑换 token 的授权码过期时间(建议 600 秒),若在有效期内未使用,则导致所有身份或资源凭证无法兑换,最终无法进行登录。 |
| id_token 过期时间 | Id_token 是指用户的身份凭证(建议 1209600 秒/ 14 天),过期后用户的身份信息无法认证,需要重新登录 |
| access_token 过期时间 | access_token 是允许访问资源的凭证(建议 1209600 秒/ 14 天),过期后用户的权限资源无法认证,需要重新登录 |
| refresh_token 过期时间 | refresh_token 是获取新的 access_token、id_token 的凭证(建议 2592000 秒/ 30 天,该配置一般比 access_token 要长),过期后无法刷新 id_token 和 access_token,最终会导致用户需要重新登录 |
2. 添加集成应用
点击【添加应用】按钮,选择【集成应用】进入应用市场,选择要集成的应用,按照应用集成教程填入信息后保存,即可在企业应用列表看到新添加的应用系统。
3. 访问授权
在应用详情页面,选择【访问授权】标签页,可以授予用户该应用的访问权限。
4. 体验登录
4.1 用户登录飞天云信IDaaS用户门户;
4.2 登录成功后,在左侧菜单栏【应用中心】处,可以看到授权给该用户的所有应用系统,点击应用图标即可单点登录到应用系统(前提:保证该应用在IDaaS管理平台未开启多因素认证,否则需要通过多因素认证,认证通过后也可登录成功)。
