功能介绍
OIDC是一个基于OAuth2协议的身份认证标准协议。接入后,AOne可使用支持OIDC认证的第三方登录应用作为身份源进行登录认证。
前置条件
请提前准备一个支持OIDC协议的应用服务。
操作步骤
管理员创建OIDC认证源
1、添加认证源
登录AOne零信任工作台,进入扩展认证源列表,点击“添加认证源”,进行OIDC认证源添加。
2、选择认证源类型
根据需求,选择OIDC认证源类型。
3、配置认证源
选择OIDC认证源类型,输入配置参数,完成OIDC认证源配置。
注意:配置认证源所需的参数信息需从第三方OIDC协议的服务应用详情中获取,系统可根据Issuer URL自动解析并填充授权端点、令牌端点、公钥端点、用户信息端点信息,完成配置后点击“下一步”进行保存。
配置参数说明:
参数 说明 认证源名称 必填,默认“OIDC”,可修改,最长16个字。
Scopes 非必填,请求授权端点时携带的Scopes信息,代表申请的授权范围。
Issuer URL 必填,ODIC Issuer发现端点,在第三方OIDC协议的服务应用详情中获取。
授权端点 必填,Authorization授权端点,用于获取授权码。由系统根据Issuer URL自动解析获取。
令牌端点 必填,Token令牌端点,用于使用授权码换取令牌。由系统根据Issuer URL自动解析获取。
公钥端点 必填,JWKS公钥端点,用于校验id_token来源有效性。由系统根据Issuer URL自动解析获取。
用户信息端点 必填,用户信息userinfo端点,用于获取用户基本信息。由系统根据Issuer URL自动解析获取。
授权模式 非必填,固定值,不提供配置,默认为授权码模式。
Client ID 必填,ODIC应用的Client ID。
Client Secret 必填,ODIC应用的Client Secret。
登录模式 必填,以下两个模式进行选择一个:
登录注册:首次登录时校验该ODIC账号是否已存在,不存在创建账号。
仅用于登录:只能登录既有账号,首次登录需要先与之前的账号绑定,账号密码为AOne用的账号密码,绑定后不再需要。
适用范围 必填,固定值,不提供配置,展示认证源适用的终端。
Logo 非必填,在认证源列表展示的Logo。
4、完成
配置参数填写完成后,点击“下一步”完成任务配置,系统回到认证源列表,可查看认证源的相关信息。
在完成OIDC认证源的设置后,需要在OIDC应用中指定一个回调地址,以便在用户完成认证后,服务应用能够接收到认证结果。这个回调地址的格式是:https://AOne域名/{poolId}/connection/oidc/{connectionId}/login/callback。
这里的{poolId}和{connectionId}分别代表用户池和认证源的唯一标识符,需要将这两个占位符替换为实际的用户池ID和认证源ID。
登录验证
- 需要通过AOne客户端进行点击“其他登录方式”图标。
- 则自动打开浏览器,选择对应登录方式进行登录。
- 登录完成自动拉起客户端完成登录。
管理员查看登录账号
当用户池内的用户使用OIDC认证源登录后,管理员可在AOne零信任工作台-身份-用户与组织-用户界面管理相关用户。