为了方便企业用户的认证登录,飞连支持配置 OIDC 协议作为认证源,以满足企业自有认证源的接入需求。通过配置协议作为认证源,用户可以更加简便地登录各应用系统。本文将介绍如何配置 OIDC 认证源接入。
OIDC(OpenID Connect)是一个基于 OAuth 2.0 协议的身份认证标准协议,它提供了一个安全的方式进行用户身份验证和授权。OIDC 利用 OAuth 2.0 的授权服务器,将用户的身份认证信息提供给第三方客户端,并适用于各种类型的客户端,同时与 OAuth 2.0 完全兼容。但与 OAuth 2.0 不同的是,OIDC 还提供了一个标准化的用户信息端点,使第三方应用程序可以轻松地获取用户的基本信息。更多关于 OIDC 的信息,请参见欢迎使用OpenID Connect。
https://staging.feilian.cn/api/tpslogin/callback/custom_oidc登录飞连管理后台。
在左侧导航栏,选择账号配置。
单击认证源管理页签,单击右上角添加认证源。
在选择认证源对话框,单击 OIDC 卡片。
参考界面提示配置 OIDC 认证源参数,关键参数说明如下,完成配置后,单击确定。
模块 | 配置项 | 必填 | 说明 |
|---|---|---|---|
基本信息 | 登录显示图标 | 是 | 登录界面按钮上显示的身份源图标,单击重新上传可上传自定义显示图标。 |
登录简称(中文) | 是 | 显示在登录界面的按钮下方的名称,例如 OIDC 认证,点击输入框下方的示例了解展示效果。 | |
登录简称(英文) | 是 | 显示在登录界面的按钮下方的名称。 | |
唯一标志 | 是 | 登录源唯一标识,用于区分不同登录认证的租户,由小写字母、数字以及 - 组成,长度小于 32 位字符。 | |
单位 | 是 | 请选择该认证源适用的单位。设置后,该单位的员工可通过此登录方式进行认证。 | |
描述 | 否 | 认证源描述,非客户端展示字段,仅用于管理后台备注说明,长度小于 40 位字符。 | |
登录认证位置 | 是 | 请选择该登录认证方式适用的飞连客户端类型,默认飞连手机端软件、桌面端软件或门户网站均可使用该登录认证方式。 | |
认证信息 | Client ID | 是 | OIDC 身份服务商提供的 Client ID。您可以在 OIDC 认证源详情中复制 Client ID 信息。 |
Client Secret | 是 | OIDC 身份服务商提供的 Client Secret。您可以在 OIDC 认证源详情中复制 Client Secret 信息。 | |
Scope | 否 | OIDC 认证范围,例如 openid profile,多个参数需要空格分割。 | |
Token 身份认证方式 | 否 | OIDC 身份服务商提供获取 Token 的方式,可选 client_secret_post 或 client_secret_basic。 | |
携带 Nonce | 否 | 请求 OIDC 服务时是否携带 Nonce 参数,默认不开启。 | |
校验 ID Token | 否 | 是否校验 ID Token,校验后可从 ID Token 获取信息。开启后,您可以设置:
| |
用户信息来源 | 否 | 用户信息获取来源,可选:
| |
信任用户设备 | 否 | 信任用户设备后可以跳过二次认证。开启后,您可以配置:
| |
OIDC 服务域名地址 | 是 | 对应 OIDC 服务的域名地址。 | |
认证端点 | 是 | OIDC 身份服务授权认证的端点。 | |
Token端点 | 是 | OIDC 身份服务获取 Token 的端点。 | |
用户信息端点 | 是 | OIDC 身份服务获取用户信息的端点。 | |
JWKs公钥端点 | 否 | OIDC 身份服务获取 JWKs 公钥的端点。 | |
高级设置 | 属性映射策略 | 是 | 将第三方登录认证源的用户信息直接映射为飞连的用户信息,即在登录过程中建立第三方与飞连用户之间的对应关系,您可以设置:
|
唯一标识优先级 | 是 | 按照优先级顺序匹配上游唯一标识,需要您自行确认上游数据源唯一标识。 | |
登录未匹配到员工时,选择处置方式 | 否 | 企业成员登录飞连时,未在飞连组织架构匹配到用户时,将提供自动创建账号服务,可选:
|
更多标准认证源配置,详见以下文档: