操作流程
创建应用
-
登录 TOPIAM 管理控制台。
-
前往 应用管理-添加应用- 标准协议,点击 OIDC 模板。
-
确认应用名称,即可完成添加。
-
添加成功后,点击完善配置,进入应用管理页面完善配置
协议配置
基础配置
参数描述:
参数 | 是否必选 | 说明 |
---|---|---|
授权模式 | 是 | 授权码模式, 令牌刷新模式,隐式模式,密码模式,设备模式 |
PKCE(用于授权码模式) | 否 | PKCE (Proof Key for Code Exchange)是 OAuth 2.0 的安全性扩展模式,用于防护 CSRF、中间人进攻等恶意攻击。 |
登录 Redirect URI | 是 | 登录 Redirect URI 白名单,应用在请求登录时携带 redirect_uri 参数,该值需要在白名单中,IAM 才会在认证完成后发起跳转。若有多条,请点击添加进行扩展 |
登出 Redirect URI | 是 | 登出 Redirect URI 白名单,应用在请求登录时携带 post_logout_redirect_uri 参数,该值需要在白名单中,IAM 才会在认证完成后发起跳转。若有多条,请点击添加进行扩展 |
授权范围 | 是 | 规范应用的可使用人群范围 ,全员访问: 在 TOPIAM 中的所有账户,均可访问该应用,无需额外授权。 手动授权: 需要在应用的 【访问授权】 标签中,手动分配可访问应用的组织和账户。 |
登录发起地址 | 否 | 在门户中心点击应用图标时,会跳转到此 URL,默认为 TOPIAM 登录页。 |
高级配置
参数描述:
参数 | 是否必选 | 说明 |
---|---|---|
用户信息范围 | 是 | 用户登录后,使用用户信息端点或解析 id_token 可以获取到的已登录用户信息。可选值:openid,email,phone,profile |
access_token 有效期 | 是 | access_token 用于请求 IAM 接口,过期后需要使用 refresh_token 刷新,或重新登录。 |
authorization_code 有效期 | 是 | 授权码模式 authorization_code 有效期。 |
device_code 有效期 | 是 | 设备模式 device_code 有效期。 |
refresh_token 有效期 | 是 | 用于获取新的 access_token 和 id_token,refresh_token 过期后,用户需要重新登录。 |
是否重用刷新令牌 | 是 | 在刷新访问令牌时是否重用旧的刷新令牌还是发放一个新的刷新令牌。 |
id_token 有效期 | 是 | 目前暂不支持修改,默认 30 分钟失效 |
id_token 签名算法 | 是 | id_token 签名使用的非对称算法。可选值为 RS256 和 ES256 |
应用配置信息
参数描述:
参数 | 说明 |
---|---|
Issuer | 用于标识 token 发放来源的字段。同时是下述接口的 baseUrl。 |
发现端点 | 用于获取当前 IAM 支持的各端点信息和支持的模式、参数信息,可公开访问。 |
授权端点 | 应用发起单点登录的地址。 |
令牌端点 | 应用在单点登录过程中,拿到 code 后,从后端发起换取 token 的接口地址。 |
令牌吊销端点 | 吊销 token 的接口地址 |
验签公钥端点 | 用于验证 id_token、完成 SSO 流程的公钥端点。公钥可能会轮转。 |
用户信息端点 | 在账户登录后,使用 access_token 调用用户信息端点,获取账户基本信息。 |
结束会话端点 |