提供了接入OAuth 2.0单点登录的功能,支持管理员在【办公平台】模块配置OAuth 2.0
常见应用场景
登录:使用SSO进行系统登录
登出:SSO侧登出时同步登出系统
系统配置-办公平台页面,进行“OAuth2.0”的接入
1、基础配置
- 账号关联关系:请输入用户信息结构体中用于映射的字段的JSONPath。
2、单点登录(SSO)配置
- provider:必填,provider侧配置,包括但不限于Authorize URL、Token API、User API,具体参考OAuth 2.0标准协议 RFC 6749。举例:
{ "token_endpoint": "https://sso.xxxx.com/oauth2/access_token", "authorization_endpoint": "https://sso.xxxx.com/oauth2/authorize", "userinfo_endpoint": "https://sso.xxxx.com/oauth2/userinfo" }
校验tls证书: 是否校验tls证书
client
client_id:必填。参见 RFC 6749 # section-2.2
client_secret:非必填。 参见 RFC 6749 # section-2.3.1
scope:非必填, 需要申请的数据范围,枚举值由SSO侧指定。参见 RFC 6749 # section-3.3
token_endpoint_auth_method:客户端认证模式,必填,默认值 。
client_secret_basictoken_placement:token放入HTTP请求的位置,必填,默认值
header。
用户信息字段映射
姓名:用户信息结构体姓名对应字段的JSONPath,非必填。
邮箱:用户信息结构体邮箱对应字段的JSONPath,非必填。
手机号:用户信息结构体手机号对应字段的JSONPath,非必填。
3、登出配置
登出token字段名:SSO侧调用同步登出接口时传递token的query参数名。
保存token: 保存oauth2的token与sso_user_id的关系, 非必填,需要同步登出功能时需要勾选。
开放对外登出接口:同步登出开关,非必填。
4、登录跳转白名单
sso服务侧可能会需要配置跳转白名单,路径为 /minibase/portal/api/v1/user/login/sso/oauth2/uni_callback,域名为控制台所用域名
- 示例:
https://abc.com/minibase/portal/api/v1/user/login/sso/oauth2/uni_callback
5、信息映射字段
系统配置-办公平台页面,“单点登录(SSO)配置”中支持设置“用户信息字段映射”,配置用户信息映射字段名,系统根据该配置字段从SSO平台端返回数据中获取对应信息。SSO注册和登录时同步用户信息的场景将依据该配置。(配置规则: jsonpath)
姓名: 优先取配置字段的值,未配置时取username字段的值,取不到值时默认使用sso_user_id填充
邮箱:优先取配置字段的值,未配置时取email字段的值
手机号:优先取配置字段的值,未配置时取mobile字段的值
