认证源

该文章帮助你快速入门,完成单点登录服务认证源的部署和配置。SSO 服务可代理第三方标准协议的身份认证服务,将 SSO 服务作为第三方认证服务的客户端接入,由 SSO 服务向客户端代理第三方认证服务,实现单一客户端通过同一协议对接不同认证源。

主要概念

  • 认证源: 第三方认证服务提供方。

目标读者

组织管理员

开始前准备

  • 拥有一个EnOS OU 管理员账号,由系统管理员授权拥有对单点登录服务的全部操作权限,参考策略,角色,与权限

步骤:

  1. 在EnOS管理门户中选择 单点登录 > 认证源

  2. 点击 新建认证源,提供如下信息:

    • 基本信息:

      • 名称:认证源名称,全局唯一,登录时通过名称指定所需使用的认证源。

      • 类型:SSO 服务与第三方认证服务接入使用的 SSO 标准协议。

      • 启用:开启状态,关闭时客户端将无法使用此认证源登录。

    • OIDC配置:

      • 认证地址:OAuth2.0 authorize endpoint。

      • Token 地址 : OAuth2.0 token endpoint。

      • User Info 地址:OAuth2.0 userinfo endpoint。

      • Issuer 地址:OIDC 的 metadata,包含认证源元数据。如填此项,Authorization URI, Token URI, JWKSetURI均可选填。

      • jwkSet地址:Id Token 的签名算法地址。JSON Web Key Set 是一组密钥,包含用于验证授权服务器发布并使用RS256签名算法签名的任何JSON Web令牌(JWT)的公共密钥。

      • IdP 默认 Logout URL:登出后的重定向地址。如客户端未指定Logout Redirect URL,则会采用此地址。

      • 客户端 ID:认证源创建的客户端(即 SSO 服务)的唯一 ID。

      • 客户端密钥:认证源创建的客户端(即 SSO 服务)通信凭证。

      • Client 认证方式:客户端(即 SSO 服务)的认证方式,basic/post。

      • 重定向地址:认证通过后的重定向地址。

      • Scope: OAuth2.0 Scope。

    • 属性映射:Id Token 中以下用户属性字段名。

      • user name

      • given name

      • family name

      • email

      • phone

      • nike name

备注

确保所选择的条目均为有效的帐号条目。

  1. 点击 保存 ,新建认证源完成。

编辑认证源

  1. 在EnOS管理门户中选择 单点登录 > 认证源

  2. 点击列表中刚新建的认证源后的 view 按钮,进入到认证源详情页面,点击页面底部 编辑 按钮,编辑认证源配置信息。

  3. 点击 保存 ,编辑认证源完成。