使用SetApplicationSsoConfig API設定EIAM應用的單點登入SSO配置-應用身份服務 (IDaaS)-阿里雲

設定一個EIAM應用的單點登入SSO配置屬性。

介面說明

在 EIAM 中，應用管理支援添加多種單點登入 SSO 協議（SAML 2.0 和 OIDC）的應用，但是一個應用支援的 SSO 協議只能有一種，且在建立時指定後不可更改。您根據當前的應用支援的 SSO 協議類型，指定對應的 SSO 配置屬性參數。

調試

您可以在OpenAPI Explorer中直接運行該介面，免去您計算簽名的困擾。運行成功後，OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊，可以在RAM權限原則語句的Action元素中使用，用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下：

操作：是指具體的許可權點。
存取層級：是指每個操作的存取層級，取值為寫入（Write）、讀取（Read）或列出（List）。
資源類型：是指操作中支援授權的資源類型。具體說明如下：
- 對於必選的資源類型，用前面加 * 表示。
- 對於不支援資源級授權的操作，用全部資源表示。
條件關鍵字：是指雲產品自身定義的條件關鍵字。
關聯操作：是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權，操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

eiam:SetApplicationSsoConfig

create

*Application

acs:eiam:{#regionId}:{#accountId}:instance/{#InstanceId}/application/{#ApplicationId}

無

請求參數

名稱	類型	必填	描述	樣本值
InstanceId	string	是	執行個體 ID。	idaas_ue2jvisn35ea5lmthk267xxxxx
ApplicationId	string	是	應用 ID。	app_mkv7rgt4d7i4u7zqtzev2mxxxx
SamlSsoConfig	object	否	SAML 協議的應用 SSO 屬性配置參數。
SpSsoAcsUrl	string	否	應用（SP）的 SAML 斷言消費地址。	https://signin.aliyun.com/saml-role/sso
SpEntityId	string	否	應用（SP）的 SAML 的 EntityId。	urn:alibaba:cloudcomputing
NameIdFormat	string	否	SAML 協議標準的 NameID 格式，取值可選範圍： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified：未指定的，由應用自行決定解析 NameID。 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress：Email 地址格式。 urn:oasis:names:tc:SAML:2.0:nameid-format:persistent：持久化的 NameID。 urn:oasis:names:tc:SAML:2.0:nameid-format:transient：瞬時的 NameID。	urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
NameIdValueExpression	string	否	SAML 協議的 NameID 真實取值產生運算式。	user.email
DefaultRelayState	string	否	預設 RelayState 取值。當使用者的單點登入 SSO 請求是由 EIAM 發起時，EIAM 提供的 SAML Response 會指定 RelayState 為當前值。	https://home.console.alibabacloud.com
SignatureAlgorithm	string	否	SAML 斷言簽名演算法。	RSA-SHA256
ResponseSigned	boolean	否	Response 是否需要簽名。ResponseSigned 和 AssertionSigned 不能同時為 false。 true：需要簽名。 false：不需要簽名。	true
AssertionSigned	boolean	否	Assertion 是否需要簽名。ResponseSigned 和 AssertionSigned 不能同時為 false。 true：需要簽名。 false：不需要簽名。	true
AttributeStatements	array	否	在 SAML 斷言中包含的額外使用者屬性配置。
	object	否
AttributeName	string	否	SAML 斷言中屬性的 Name。	https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName
AttributeValueExpression	string	否	SAML 斷言中的屬性取值運算式。	user.username
IdPEntityId	string	否	SAML 協議中代表 IdP 身份的 Entity Id。支援 URL 格式和 URN 格式。	https://example.com/
OptionalRelayStates	array	否	可選的 RelayState 配置。
	object	否	可選的 RelayState 配置。
RelayState	string	否	RelayState 取值。	https://ram.console.alibabacloud.com/
DisplayName	string	否	RelayState 的顯示名稱。	Ram
OidcSsoConfig	object	否	OIDC 協議的應用 SSO 屬性配置參數。
RedirectUris	array	否	應用支援的 RedirectUri 列表。
	string	否	應用支援的 RedirectUri。	https://example.com/oidc/login/callback
PostLogoutRedirectUris	array	否	應用支援 Logout 登出回調地址清單。
	string	否	應用的 Logout 登出回調白名單地址，應用發起 Logout 請求時可以指定 post_logout_redirect_uri 參數。	https://example.com/oidc/logout/callback
GrantTypes	array	否	支援的 OIDC 協議授權模式列表。	authorization_code
	string	否	支援的 OIDC 協議授權模式，取值可選範圍： authorization_code：授權碼模式。 implicit：隱式模式。 refresh_token：令牌重新整理模式。 urn:ietf:params:oauth:grant-type:device_code：裝置模式。 password：Cipher 模式。	authorization_code
ResponseTypes	array	否	當 OidcSsoConfig.GrantTypes 包含指定 implicit 隱式模式後，應用支援的傳回型別。	token id_token
	string	否	OIDC 協議標準參數 ResponseType，只有指定了 GrantTypes 包含 implicit 隱式模式才生效，取值可選範圍： token：只返回 access token。 id_token：只返回 id token。 token id_token：同時返回 access token 和 id token。	token id_token
GrantScopes	array	否	OIDC 協議標準參數 scope，用於指定 userinfo 端點或者 id_token 可以返回的使用者屬性範圍。	profile，email
	string	否	OIDC 協議標準參數 scope，用於指定 userinfo 端點或者 id_token 可以返回的使用者屬性範圍，取值可選範圍： openid：OIDC 標準參數，使用者唯一 id。 profile：使用者詳細資料。 email：使用者郵箱資訊。 phone：使用者手機資訊。	openid
PasswordTotpMfaRequired	boolean	否	Cipher 模式是否強制需要 TOTP 二次認證，若且唯若 OIDC 協議應用指定的 GrantTypes 包含 password 模式才生效。	true
PasswordAuthenticationSourceId	string	否	Cipher 模式使用的身份認證源 ID，若且唯若 OIDC 協議應用指定的 GrantTypes 包含 password 模式才生效。	ia_password
PkceRequired	boolean	否	應用 SSO 是否強制要求 PKCE（RFC 7636）。	true
PkceChallengeMethods	array	否	PKCE 中計算 Code Challenge 的演算法。	S256
	string	否	PKCE 中計算 Code Challenge 的演算法，取值可選範圍： plain：原文。 S256：SHA 256 演算法。	S256
AccessTokenEffectiveTime	integer	否	簽發的 access token 有效時間，單位為秒，預設 1200 秒（20 分鐘）。	1200
CodeEffectiveTime	integer	否	簽發的 code 有效時間，單位為秒，預設為 60 秒（1 分鐘）。	60
IdTokenEffectiveTime	integer	否	簽發的 id token 有效時間，單位為秒，預設為 300 秒（5 分鐘）。	300
RefreshTokenEffective	integer	否	簽發的 refresh token 有效時間，單位為秒，預設為 86400 秒（1 天）。	86400
CustomClaims	array	否	自訂 id token 返回包含的使用者資訊。
	object	否
ClaimName	string	否	返回的 claim 名稱。	"Role"
ClaimValueExpression	string	否	返回的 claim 取值運算式。	user.dict.applicationRole
SubjectIdExpression	string	否	自訂 id token 返回的 sub 取值運算式。	user.userid
AllowedPublicClient	boolean	否	應用是否允許作為公用用戶端請求 IDaaS EIAM 授權伺服器。只支援授權碼模式和裝置模式啟用，預設為 false。	true
InitLoginType	string	否	初始化單點登入 SSO 方式，取值可選範圍： only_app_init_sso：僅應用發起 SSO，OIDC 協議應用預設取值。當 SAML 應用指定為該方式時，InitLoginUrl 必須指定。 idaas_or_app_init_sso：支援 IDaaS 門戶或者應用發起 SSO，SAML 協議應用預設取值範圍。當 OIDC 協議指定為該方式時，InitLoginUrl 必須指定。	only_app_init_sso
InitLoginUrl	string	否	初始化單點登入 SSO 觸發地址。當 OIDC 協議類型應用設定 InitLoginType 為 idaas_or_app_init_sso 時，必須指定該參數。當 SAML 協議類型應用設定 InitLoginType 為 only_app_init_sso 時，必須指定該參數。	http://127.0.0.1:8000/start_login?enterprise_code=ABCDEF
ClientToken	string	否	保證請求等冪性。從您的用戶端產生一個參數值，確保不同請求間該參數值唯一。只支援 ASCII 字元，且不能超過 64 個字元。更多資訊，請參見如何保證等冪性。	client-examplexxx

返回參數

名稱	類型	描述	樣本值
	object
RequestId	string	請求 ID。	0441BD79-92F3-53AA-8657-F8CE4A2B912A

樣本

正常返回樣本

JSON格式

{
  "RequestId": "0441BD79-92F3-53AA-8657-F8CE4A2B912A"
}

錯誤碼

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊，參考變更詳情。