Identity as a Service：Konfigurasi SSO untuk aplikasi yang dikembangkan sendiri

​

Parameter

Deskripsi

Contoh

Konfigurasi Dasar (Wajib)

Logon

Redirect URI

Daftar putih dari Redirect URIs. Saat aplikasi meminta untuk log on, ia membawa parameter redirect_uri. Nilai ini harus ada dalam daftar putih agar IDaaS dapat memulai pengalihan setelah autentikasi selesai.

http://www.xxxx/oidc/sso

http://www.xxxx/oidc/sso2

Cakupan otorisasi

Untuk informasi lebih lanjut, lihat Ikhtisar SSO.

Semua Pengguna

Konfigurasi Lanjutan (opsional)

Informasi pengguna

Cakupan

Informasi identitas pengguna yang dapat diperoleh menggunakan UserInfo Endpoint.

• openid

• email

• phone

• profile

Pilihan ganda: OpenID

Pilih beberapa email.

Pilihan profil ganda

access_token

periode validitas

access_token digunakan untuk meminta API IDaaS. Periode validitas default adalah 20 menit, minimum 5 menit, dan maksimum 24 jam. Setelah kedaluwarsa, Anda harus menggunakan refresh_token untuk memperbaruinya atau log on kembali.

20 menit

id_token

periode validitas

id_token digunakan untuk mengidentifikasi pengguna. Ini dalam format JWT dan memungkinkan aplikasi menggunakan kunci publik untuk memverifikasi identitas pengguna. Setelah kedaluwarsa, Anda harus menggunakan refresh_token untuk memperbaruinya atau log on kembali.

Untuk format id_token, lihat berbagai tokens di IDaaS.

10 jam

refresh_token

periode validitas

Digunakan untuk mendapatkan access_token baru dan id_token. Setelah refresh_token kedaluwarsa, pengguna perlu log on kembali.

30 hari

id_token Diperluas

bidang

Anda dapat memperluas bidang payload di id_token untuk mengembalikan informasi dasar non-sensitif pengguna, yang menghindari panggilan berulang ke endpoint informasi pengguna. Catatan: Bidang yang ditambahkan ke payload terlihat secara publik. Gunakan sesuai kebutuhan.

-

Inisiator SSO

Protokol OIDC secara alami mendukung SSO yang diinisiasi oleh aplikasi.

Jika Anda memilih Dukungan portal-inisiasi dan aplikasi-inisiasi, Anda harus mengisi bidang berikutnya: Alamat inisiasi logon portal.

Anda dapat memulai ini dari portal atau aplikasi.

Alamat inisiasi logon

Alamat aplikasi yang diakses saat IDaaS memulai permintaan SSO. Saat alamat ini menerima permintaan, ia harus segera memulai permintaan port /authorize otorisasi.

http://www.xxxx/oidc/login

Algoritma tanda tangan id_token

Tanda tangan untuk id_token menggunakan algoritma asimetris. Saat ini, hanya algoritma RSA-SHA256 yang didukung.

SHA256

Alamat callback logoff

Daftar putih alamat callback aplikasi setelah logoff dari IDaaS. Aplikasi dapat membawa ini saat memulai permintaan SLO.

http://www.xxxx.com

Parameter

Deskripsi

Contoh

Issuer

Bidang di id_token yang menandai sumber token. Ini juga merupakan baseUrl untuk antarmuka berikut.

https://xxxxx.aliyunidaas.com/oidc1

Discovery

Penemuan

Digunakan untuk mendapatkan informasi tentang titik akhir, pola yang didukung, dan parameter yang saat ini didukung oleh IDaaS. Dapat diakses secara publik.

https://xxxxx.aliyunidaas.com/oidc1/.well-known/openid-configuration

Otorisasi

Otorisasi

Titik akhir tempat aplikasi meminta SSO.

https://xxxxx.aliyunidaas.com/oidc/authorize

Token

Token

Alamat antarmuka di mana aplikasi, setelah mendapatkan kode otorisasi code selama proses single sign-on, memulai permintaan dari backend untuk menukarnya dengan token.

https://xxxxx.aliyunidaas.com/oauth2/token

Pencabutan Token

Pencabutan

Titik akhir yang digunakan untuk mencabut token yang diterbitkan.

https://xxxxx.aliyunidaas.com/oauth2/revoke

Titik akhir kunci publik untuk verifikasi tanda tangan

JWKS

Titik akhir kunci publik yang digunakan untuk memverifikasi id_token dan menyelesaikan alur SSO. Kunci publik dapat diputar.

https://xxxxx.aliyunidaas.com/oidc1/slo

Informasi pengguna

Userinfo

Titik akhir untuk mendapatkan informasi dasar pengguna menggunakan access_token setelah logon.

https://xxxxx.aliyunidaas.com/oidc1/userinfo

Titik akhir sesi akhir

SLO

Pengguna log off dari status logon utama IDaaS.

-