功能介绍
OAuth 2.0 是行业标准的授权协议,允许第三方应用在获得用户许可后,访问用户在某个服务上的资源,而不需要将用户的用户名和密码透露给第三方应用。接入后,AOne可使用支持OAuth 2.0认证的第三方登录应用作为身份源进行登录认证。
前置条件
请提前准备一个支持OAuth 2.0协议的应用服务。
注意目前该能力暂未全面开放至控制台,若想要进行该能力配置,可联系我们进行开启。
操作步骤
管理员创建OAuth 2.0认证源
1、添加认证源
登录AOne零信任工作台,进入扩展认证源列表,点击“添加认证源”,进行OAuth 2.0认证源添加。
2、选择认证源类型
根据需求,选择OAuth 2.0认证源类型。
3、配置认证源
选择OAuth 2.0认证源类型,输入配置参数,完成OAuth 2.0认证源配置。
配置参数说明:
参数 说明 认证源名称 必填,默认“OAuth 2.0”,可修改,最长16个字。
授权URL 必填,OAuth2.0应用的授权URL,用来向 OAuth2.0 IdP 发起认证请求的 URL。
Token URL 必填,OAuth2.0应用的Token URL,用来从 OAuth2.0 IdP 处获取身份信息的 URL。
Client ID 必填,OAuth2.0应用的Client ID。 Client Secret 必填,OAuth2.0应用的Client Secret。
Scopes 非必填,请求授权端点时携带的Scopes信息,代表申请的授权范围。
授权模式 非必填,固定值,不提供配置,默认为授权码模式。
用户信息端点 必填,用户信息userinfo端点,用于获取用户基本信息。
登录模式 必填,以下两个模式进行选择一个:
登录注册:首次登录时校验该OAuth 2.0账号是否已存在,不存在创建账号。
仅用于登录:只能登录既有账号,首次登录需要先与之前的账号绑定,账号密码为AOne用的账号密码,绑定后不再需要。
适用范围 必填,固定值,不提供配置,展示认证源适用的终端。
Logo 非必填,在认证源列表展示的Logo。
4、完成
配置参数填写完成后,点击“下一步”完成任务配置,系统回到认证源列表,可查看认证源的相关信息。
在完成OAuth 2.0认证源设置后,需要在第三方服务应用中指定一个回调地址,以便在用户完成认证后,服务应用能够接收到认证结果。回调地址格式是:https://AOne域名(控制台获取)/{poolId}/connection/oidc/{connectionId}/login/callback。
其中{poolId}和{connectionId}分别代表用户池和认证源的唯一标识符,需要将这两个占位符替换为实际的用户池ID和认证源ID。
登录验证
- 需要通过AOne客户端进行点击“其他登录方式”图标。
- 则自动打开浏览器,选择对应登录方式进行登录。
- 登录完成自动拉起客户端完成登录。
管理员查看登录账号
当用户池内的用户使用OAuth 2.0认证源登录后,管理员可在AOne零信任工作台-身份-用户与组织-用户界面管理相关用户。
