配置OpenID Connect认证源
OpenID Connect认证源在下文中简称 OIDC认证源,是基于OAuth 2.0 的身份认证协议,更多介绍见快速理解OIDC。
本系统与OAuth 2.0交互中需要保证每步交互都开放在公网,需确保OAuth 2.0的接口可在公网访问。
第一步:在管理后台添加OIDC认证源
登录本系统的管理后台,点击登录模块下的「认证源」,点击「添加认证源」。
点击「展开选择」按钮,可以看到标准协议的认证源。选择「OIDC」后,点击「确定」。
请根据下表,配置您的OIDC认证源参数。
| 参数名 | 说明 |
|---|---|
| Client ID | OIDC身份提供商创建的Client App的ID |
| Client Secret | OIDC身份提供商创建的Client App的Secret |
| Scopes | ID Token 包含声明的特定信息集,openid是强制必需的 |
| Issuer | OIDC身份提供商的标识。 |
| Well-known接口 | OIDC身份提供商提供的用于提供IDP配置信息的URI |
| Max Clock Skew | 系统会校验IDP颁发的Assertion/Token的有效期,而双方的系统时钟未必完全一致。在该配置允许范围内的时钟偏移, 系统即认为有效 |
配置完成后,点击「保存」按钮。系统会为您生成回调链接。请您复制该地址并做好记录。
第二步:返回OIDC身份提供商页面进行配置
将上一步生成的回调链接回填至OIDC认证源的相关配置项中。具体的操作路径请咨询您的OIDC身份身份提供商。
第三步:配置关联关系
返回本系统管理后台,点击页面顶部的tab切换至「关联规则」并进行关联关系配置。
默认关联规则的条件组是:OIDC认证源提供的人员email和本系统中人员的email形成对应关系。
建议您根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。对应关系匹配成功即可登录。
若无匹配关系,默认拒绝登录。
若无匹配关系,仍需要本企业人员继续完成登录,【未匹配逻辑】模块中可选择「新建用户」,默认会生成字段对应关系,也可以自行设定。
在此设定下,用户在企业登录页面进行钉钉扫码登录时,系统会自动创建一个人员作为该用户的身份,并完成登录。
第四步:OIDC认证源登录测试
当您完成了OIDC认证源的配置之后,您可以点击「测试」按钮,来进行一次登录测试。
如果测试窗口成功打开了认证源的登录页,并且您能够通过正常的登录流程获取到登录结果信息,即证明您的认证源配置是正确的。
(图)
如果测试窗口未能成功打开,或您无法正常体验登录流程,则需要您重新检查您的配置信息是否正确。
第五步:企业登录方式中启用OIDC认证源
点击左侧导航菜单栏的「通用配置」,在企业登录方式配置中对该OIDC认证源点击开启。
(图)
配置成功后的企业登录场景
第一步:在企业SSO登录页面新增显示对应OIDC认证源的登录入口。点击后跳转到OIDC认证源登录页(当「通用配置」中关闭其他登录方式时,点击「企业SSO登录」直接跳转到OIDC认证源登录页)。
(图)
(图)
第二步:验证正确之后会成功登录进入本系统。