全部产品
Search

搜索本产品

    Identity as a Service:Konfigurasi SSO OIDC

    文档中心

    Identity as a Service:Konfigurasi SSO OIDC

    更新时间:Nov 09, 2025

    Dokumen ini menggunakan protokol OpenID Connect (OIDC) sebagai contoh untuk menjelaskan cara mengonfigurasi Single Sign-On (SSO).

    Catatan

    Untuk informasi lebih lanjut tentang protokol SSO yang didukung oleh IDaaS, lihat Protokol standar.

    Dukungan IDaaS untuk jenis grant OIDC

    Anda dapat memilih satu atau lebih dari jenis grant berikut:

    Pola

    Deskripsi

    Mode Klien

    client_credentials

    Jenis grant kredensial klien memungkinkan aplikasi menggunakan client_id dan client_secret untuk mendapatkan token server dari IDaaS. Token ini digunakan untuk memanggil API Pengembang yang diekspos oleh IDaaS untuk aplikasi.

    Anda tidak perlu memilih jenis grant ini. Ini diaktifkan jika akses API untuk aplikasi diaktifkan.

    Kode Otorisasi

    authorization_code

    Ini adalah mode logon paling umum untuk aplikasi OIDC di IDaaS. Aplikasi mendelegasikan logon ke IDaaS dan mengurai id_token yang dikembalikan oleh IDaaS untuk menyelesaikan verifikasi logon.

    Token Penyegaran

    refresh_token

    Mendukung penggunaan refresh_token untuk menyegarkan access_token guna memperpanjang periode validitas sesi. Ini biasanya digunakan bersama dengan jenis grant Kode Otorisasi.

    Perangkat

    device

    Jenis grant perangkat sering digunakan untuk mengintegrasikan aplikasi non-B/S. Ketika perangkat tidak dapat langsung menampilkan halaman logon IDaaS, ia memungkinkan pengguna menggunakan browser untuk membantu menyelesaikan alur logon.

    Untuk aplikasi web standar, pilih jenis grant Kode Otorisasi dan Token Penyegaran.

    Untuk aplikasi yang bukan berbasis web, pilih jenis grant Perangkat dan Token Penyegaran.

    Catatan

    IDaaS saat ini tidak mendukung jenis grant OIDC lainnya. Jika Anda memerlukan jenis grant lain, Anda dapat mengajukan permintaan. Kami akan menjadwalkan implementasinya berdasarkan prioritas.

    Konfigurasi sisi IDaaS

    Bidang

    Deskripsi

    Contoh

    Konfigurasi Dasar (wajib)

    Mode Otorisasi

    Pilih pola untuk aplikasi.

    Pilihan ganda: Kode Otorisasi

    Pilihan ganda: Token Penyegaran

    Logon

    Redirect URIs

    Daftar putih URI redirect. Saat aplikasi meminta untuk logon, ia menyertakan parameter redirect_uri. Nilai ini harus ada dalam daftar putih agar IDaaS dapat mengarahkan ulang setelah autentikasi selesai.

    http://www.example.com/oidc/sso

    http://www.example.com/oidc/sso2

    Cakupan Otorisasi

    Untuk informasi lebih lanjut, lihat Ikhtisar SSO.

    Pilih: Semua pengguna dapat mengakses

    Konfigurasi Lanjutan (opsional)

    Cakupan Informasi Pengguna

    scopes

    Informasi pengguna yang telah logon yang dapat diperoleh dari titik akhir informasi pengguna setelah logon.

    • openid

    • email

    • phone

    • profile

    Pilihan ganda: openid

    Pilihan ganda: email

    Pilihan ganda: profile

    PKCE

    Opsi ini tersedia ketika jenis grant Kode Otorisasi dipilih. Saat diaktifkan, jenis grant Kode Otorisasi menggunakan aliran ekstensi Proof Key for Code Exchange (PKCE) yang lebih aman.

    Nonaktif secara default

    periode validitas kode

    1. kode digunakan untuk ditukar dengan token. Atur periode validitasnya dengan tepat. Anda dapat mengonfigurasi periode dalam detik atau menit.

    2. Aturan:

      • Nilai minimum: Harus minimal 60 detik (1 menit).

      • Nilai maksimum: Tidak boleh melebihi 30 menit (1800 detik).

    3. Format input dan penanganan default:

      Input harus berupa bilangan bulat positif. Sistem secara otomatis memvalidasi nilai tersebut dan menyesuaikannya jika berada di luar rentang berdasarkan unit yang dipilih:

      • Jika unitnya menit:

        • Jika nilai input kurang dari 5, maka secara otomatis disetel menjadi 5 menit.

        • Jika nilai input lebih dari 30, maka secara otomatis disetel menjadi 30 menit.

      • Jika unitnya detik:

        • Jika nilai input kurang dari 60, maka secara otomatis disetel menjadi 60 detik.

        • Jika nilai input lebih dari 1800, maka secara otomatis disetel menjadi 1800 detik.

    • Jika unitnya menit:

      Input: 3. Nilai efektif: 5 menit.

      Input: 40. Nilai efektif: 30 menit.

    • Jika unitnya detik:

      Input: 30. Nilai efektif: 60 detik.

      Input: 2000. Nilai efektif: 1800 detik.

    Code Challenge

    Metode

    Opsi ini tersedia setelah Anda mengaktifkan PKCE. Ini menentukan metode pembuatan untuk Code Challenge dalam ekstensi PKCE. Bidang ini tidak ditampilkan jika PKCE dinonaktifkan.

    -

    access_token

    periode validitas access_token

    access_token digunakan untuk memanggil API IDaaS. Periode validitas default adalah 2 jam. Setelah kedaluwarsa, Anda harus menggunakan refresh_token untuk mendapatkan yang baru, atau log on lagi.

    2 jam

    id_token

    periode validitas id_token

    id_token digunakan untuk mengidentifikasi pengguna. Ini dalam format JSON Web Token (JWT) dan memungkinkan aplikasi memverifikasi identitas pengguna dengan kunci publik. Setelah kedaluwarsa, Anda harus menggunakan refresh_token untuk mendapatkan yang baru, atau log on lagi.

    10 jam

    refresh_token

    periode validitas

    Digunakan untuk mendapatkan access_token dan id_token baru. Setelah refresh_token kedaluwarsa, pengguna harus log on lagi.

    30 hari

    Perluas id_token

    bidang

    Anda dapat memperluas bidang payload dalam id_token untuk mengembalikan informasi pengguna dasar yang tidak sensitif. Ini menghindari panggilan berulang ke titik akhir informasi pengguna. Untuk informasi lebih lanjut, lihat Spesifikasi nilai ekstensi OIDC id_token.

    Catatan

    Bidang yang ditambahkan ke payload terlihat secara publik. Gunakan fitur ini sesuai kebutuhan.

    -

    id_token

    Algoritma tanda tangan id_token

    Algoritma asimetris yang digunakan untuk menandatangani id_token. Saat ini, hanya algoritma RSA-SHA256 yang didukung.

    RSA-SHA256

    Inisiator SSO

    Menentukan apakah akses pengguna dimulai oleh aplikasi atau juga dapat dimulai dari portal.

    Hanya inisiasi oleh aplikasi

    URL inisiasi logon

    Jika inisiator SSO disetel untuk mendukung inisiasi portal dan aplikasi, Anda dapat memasukkan URL inisiasi logon. Ini adalah URL aplikasi yang dipanggil oleh IDaaS untuk memulai permintaan SSO. Saat URL ini menerima permintaan, ia harus segera mengarahkan ulang ke titik akhir /authorize IDaaS.

    -

    Konfigurasi sisi aplikasi

    Protokol OIDC memungkinkan aplikasi menyelesaikan seluruh alur logon dan autentikasi menggunakan serangkaian antarmuka standar yang disediakan oleh IDaaS.

    Tabel berikut menjelaskan antarmuka tersebut:

    Nama bidang

    Deskripsi

    Contoh

    Issuer

    Bidang dalam id_token yang menandai sumber token. Ini juga merupakan URL dasar untuk titik akhir berikut.

    https://xxxxx.aliyunidaas.com.cn/oidc1

    Titik akhir Discovery

    Discovery

    Digunakan untuk mendapatkan informasi tentang titik akhir, mode, dan parameter yang didukung oleh IDaaS. Titik akhir ini dapat diakses secara publik.

    https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration

    Titik akhir Otorisasi

    Otorisasi

    Alamat tempat aplikasi memulai logon SSO.

    https://xxxxx.aliyunidaas.com.cn/oidc/authorize

    Titik akhir Token

    token

    Selama alur SSO, setelah aplikasi mendapatkan kode otorisasi, backend memanggil titik akhir token.

    https://xxxxx.aliyunidaas.com.cn/oidc/token

    Titik akhir kunci publik untuk verifikasi tanda tangan

    JWKS

    Titik akhir kunci publik yang digunakan untuk memverifikasi id_token dan menyelesaikan alur SSO. Kunci publik tidak mendukung rotasi.

    https://xxxxx.aliyunidaas.com.cn/oidc1/jwks

    Titik akhir Userinfo

    Userinfo

    Setelah logon, gunakan titik akhir ini dengan access_token untuk mendapatkan informasi pengguna dasar.

    https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo

    Titik akhir akhir sesi

    SLO

    Mencatat pengguna keluar dari sesi logon utama IDaaS.

    https://xxxxx.aliyunidaas.com.cn/oidc1/logout