企業使用者使用內部統一帳號體系直接登入開發人員門戶。通過配置 OIDC(OpenID Connect)協議對接企業身份供應商,可實現企業級單點登入,使用者無需額外註冊。
OIDC 概述
OIDC(OpenID Connect)是一種基於 OAuth 2.0 協議的身份認證標準。開放平台通過標準的 OIDC 授權碼流程與企業身份供應商對接,企業員工可使用內部統一帳號直接登入開發人員門戶,無需單獨註冊。
目前支援的登入特性包括:
授權碼模式:採用標準的 OAuth2 Authorization Code 授權流程,安全可靠。
自動使用者建立:企業使用者首次登入時,系統會自動建立對應的開發人員帳號,無需手動註冊。
身份映射:支援從 ID Token 中靈活映射使用者標識、顯示名稱、郵箱等使用者屬性。
配置 OIDC 登入
進入安全設定
登入開放平台控制台。
在左側導覽列進入 門戶管理 菜單,查看門戶列表。
在列表中找到要配置的目標門戶,點擊該門戶卡片進入詳情頁。
在門戶詳情頁中切換到 安全設定 標籤頁。
啟用 OIDC 登入
在安全設定頁面的 第三方認證 地區中,添加 OIDC 登入配置。
按照下表填寫 OIDC 配置資訊:
欄位
說明
供應商標識
身份供應商的唯一標識,用於區分不同的 IdP(例如
aliyun)。顯示名稱
在開發人員門戶登入頁面上展示的登入按鈕名稱(例如
阿里雲帳號登入)。啟用狀態
控制該登入方式是否在當前門戶啟用。
Client ID
在 IdP 註冊應用後擷取的用戶端標識。
Client Secret
在 IdP 註冊應用後擷取的用戶端密鑰。
授權範圍
OIDC 授權請求的範圍,例如
openid profile email。Issuer
IdP 的 Issuer URL(例如
https://idp.example.com),用於自動探索端點。授權端點(authorization 端點)
IdP 的授權端點地址。
令牌端點(token 端點)
用於換取存取權杖和 ID Token 的端點地址。
使用者資訊端點(userinfo 端點)
用於擷取使用者詳細資料的端點地址。
公開金鑰端點(jwks 端點)
IdP 的公開金鑰集地址,用於驗證 ID Token 的簽名。
如果已填寫 Issuer 地址,系統會自動請求 {issuer}/.well-known/openid-configuration 端點擷取 IdP 的中繼資料資訊,並自動填滿授權端點、令牌端點和使用者資訊端點。如果 IdP 不支援自動探索協議,或需要手動指定端點地址,則需手動填寫上述各端點。
配置身份映射
身份映射用於定義從 IdP 返回的 Claims 到開放平台使用者屬性的映射關係,系統會根據映射規則提取使用者資訊並建立開發人員帳號。
欄位 | 預設值 | 說明 |
使用者標識 |
| 使用者的唯一識別欄位,用於關聯外部身份。 |
顯示名稱 |
| 使用者的顯示名稱欄位,作為開發人員名稱展示。 |
郵箱 |
| 使用者的郵箱地址欄位,用於聯絡和通知。 |
OIDC 配置確定後,系統會自動校正配置的有效性,如有問題會給出相應提示。
IdP 配置
在身份供應商側,將 回調地址 配置為:{portal-address}/oidc/callback,其中 {portal-address} 是訪問門戶的地址。
驗證配置
完成配置後,可按以下步驟驗證 OIDC 登入是否正常:
開啟開發人員門戶登入頁面,確認已顯示配置的 OIDC 登入按鈕(顯示名稱與配置一致)。
點擊 OIDC 登入按鈕,系統應跳轉至 IdP 的授權頁面。
使用企業帳號完成身分識別驗證,系統應自動跳回門戶並完成登入。
首次登入時,系統會自動建立對應的開發人員帳號,可查看帳號資訊確認身份映射是否正確。