跳到主要内容
在线体验
微信咨询
获取方案

操作流程

创建应用

  1. 登录 TOPIAM 管理控制台。

  2. 前往 应用管理-添加应用-标准协议,点击 OIDC 模板。

  3. 确认应用名称,即可完成添加。

  4. 添加成功后,点击完善配置,进入应用管理页面完善配置

协议配置

基础配置

参数描述:

参数是否必选说明
授权模式授权码模式, 令牌刷新模式,隐式模式,密码模式,设备模式
PKCE(用于授权码模式)PKCE (Proof Key for Code Exchange)是 OAuth 2.0 的安全性扩展模式,用于防护 CSRF、中间人进攻等恶意攻击。
登录 Redirect URI登录 Redirect URI 白名单,应用在请求登录时携带 redirect_uri 参数,该值需要在白名单中,IAM 才会在认证完成后发起跳转。若有多条,请点击添加进行扩展
登出 Redirect URI登出 Redirect URI 白名单,应用在请求登录时携带 post_logout_redirect_uri 参数,该值需要在白名单中,IAM 才会在认证完成后发起跳转。若有多条,请点击添加进行扩展
授权范围规范应用的可使用人群范围 ,全员访问: 在 TOPIAM 中的所有账户,均可访问该应用,无需额外授权。 手动授权: 需要在应用的 【访问授权】 标签中,手动分配可访问应用的组织和账户。
登录发起地址在门户中心点击应用图标时,会跳转到此 URL,默认为 TOPIAM 登录页。

高级配置

参数描述:

参数是否必选说明
用户信息范围用户登录后,使用用户信息端点或解析 id_token 可以获取到的已登录用户信息。可选值:openid,email,phone,profile
access_token 有效期access_token 用于请求 IAM 接口,过期后需要使用 refresh_token 刷新,或重新登录。
authorization_code 有效期授权码模式 authorization_code 有效期。
device_code 有效期设备模式 device_code 有效期。
refresh_token 有效期用于获取新的 access_token 和 id_token,refresh_token 过期后,用户需要重新登录。
是否重用刷新令牌在刷新访问令牌时是否重用旧的刷新令牌还是发放一个新的刷新令牌。
id_token 有效期目前暂不支持修改,默认 30 分钟失效
id_token 签名算法id_token 签名使用的非对称算法。可选值为 RS256 和 ES256

应用配置信息

参数描述:

参数说明
Issuer用于标识 token 发放来源的字段。同时是下述接口的 baseUrl。
发现端点用于获取当前 IAM 支持的各端点信息和支持的模式、参数信息,可公开访问。
授权端点应用发起单点登录的地址。
令牌端点应用在单点登录过程中,拿到 code 后,从后端发起换取 token 的接口地址。
令牌吊销端点吊销 token 的接口地址
验签公钥端点用于验证 id_token、完成 SSO 流程的公钥端点。公钥可能会轮转。
用户信息端点在账户登录后,使用 access_token 调用用户信息端点,获取账户基本信息。
结束会话端点结束会话端点可用于触发单点注销。