全部產品
Search

搜尋本產品

    Identity as a Service:通義靈碼 SSO

    文件中心

    Identity as a Service:通義靈碼 SSO

    更新時間:Nov 11, 2025

    本文檔介紹如何通過阿里雲IDaaS與雲效專屬版企業配置通義靈碼單點登入(SSO),涵蓋建立OIDC應用、建立專屬版企業執行個體及第三方整合全流程。

    一、在IDaaS側建立 OIDC 應用

    1. 登入IDaaS管理主控台,在左側導覽列中,選擇 EIAM 雲身份服務 。選擇對應的 IDaaS 執行個體,單擊操作列的存取控制台

    2. 單擊應用 > 添加應用 > 標準協議,添加 OIDC 應用。

    3. 在通用配置頁簽擷取 client_idclient_secret 用於第三方整合配置

    4. 登入訪問 > 單點登入頁簽。

      1. 啟用單點登入配置。

      2. 登入 Redirect URI填入步驟三的登入回調地址

      3. 授權範圍選擇全員可訪問

      4. 在應用配置資訊處,擷取 Issuer 用於第三方整合配置配置完成後,單擊儲存。

    二、在雲效側建立專屬版企業並配置網路

    說明

    通義靈碼企業專屬版需結合雲效服務進行企業管控。建立執行個體需要有阿里雲帳號或有系統管理權限的RAM使用者(RAM需包含權限原則 AliyunRDCFullAccess)。

    1. 建立專屬版企業執行個體。

      1. 登入雲效控制台,單擊專屬版功能表列。

      2. 單擊建立執行個體,進入購買頁面,填寫以下參數:

        • 地區:選擇執行個體的地區。

        • 購買方式:選擇建立執行個體購買。

        • 執行個體名稱:當前企業執行個體的名稱,支援中文、英文、數字、分隔字元“-”。

        • 執行個體標識:基於執行個體標識將自動產生公網/專網訪問網域名稱,為保證安全性,執行個體建立預設不開啟公網/專網路訪問,訪問網路需在執行個體建立完成後,進入執行個體詳情配置。

        • 規格:預設企業專屬版,不支援修改。

        • 許可證數量:預設最小數量100,可根據實際需求進行添加。

        • 購買時間長度:根據實際需求選擇。可選範圍:1個月、3個月、6個月、1年、2年、3年。

        • root 帳號密碼:初始 root 帳號登入企業執行個體的密碼,後續可在執行個體詳情進行修改。

      3. 購買完成後,返回控制台。如未顯示企業執行個體,可稍等重新整理查看。企業執行個體建立成功後可在企業執行個體列表查看狀態。

    2. 網路設定。

      說明

      為了保證網路安全性,企業執行個體建立後預設未開啟公/專網路,即預設公網不可訪問,需在執行個體處於使用中狀態後自行進行網路設定。

      1. 選擇專屬版目標企業,單擊名稱/企業 ID,進入企業詳情查看當前網路情況。

      2. 在訪問網路設定中,單擊前往修改

      3. 跳轉至網路設定頁簽後,單擊修改配置。可選擇使用公網訪問或使用使用專用網路訪問

        1. 公網訪問配置

          1. 單擊選擇使用公網訪問。

          2. 為保證安全性,開啟公網訪問必須設定 IP 白名單。

            樣本

            說明

            127.0.0.1

            表示僅允許本地訪問。

            0.0.0.0/0

            表示允許所有地址訪問。

            設定 IP 段 10.10.10.0/24

            表示只允許該網段訪問。

            說明

            若設定多個 IP 位址,需要用英文逗號隔開,逗號前後不加空格。公網白名單最多支援設定 20 個 IP 或 IP 段,配置修改後預計5分鐘生效。

        2. 專網訪問配置

          1. 單擊選擇使用專用網路訪問。

          2. 建立終端節點:如無可用終端節點,請填寫參數進行建立。如無專用網路配置許可權,請根據提示資訊授權後再進行配置。詳情請參見:專網訪問配置

    3. 網路設定完成後,在專屬版目標企業操作列單擊進入企業

    4. 跳轉至登入通義靈碼頁面,輸入登入帳號和密碼後,單擊登入按鈕進行登入

    三、配置OIDC整合

    企業管理員可以在第三方整合中配置和管理 OIDC 整合。在OIDC欄,單擊添加配置。

    1. 配置 OIDC Client。

      1. 登入回調地址:把該地址填入在IDaaS側建立的OIDC應用中

      2. Client ID:填寫步驟一在通用配置頁簽處擷取的 client_id

      3. Client Secret:填寫步驟一在通用配置頁簽處擷取的 client_secret

      4. Issuer URL:填寫步驟一在應用配置資訊處擷取的 Issuer

      填寫完成後,單擊下一步

    2. 帳號綁定與屬性對應。

      1. 帳號唯一標識:請輸入用於判定帳號唯一的 OIDC 使用者屬性,提交配置後不可修改。

      2. 帳號綁定方式:目前提供四種帳號識別和綁定方式。

        • 自動綁定郵箱相同的帳號。

        • 自動綁定登入帳號相同的帳號。

        • 自動綁定與手機號相同的帳號。

        • 自動綁定工號相同的帳號。

        請確保所選方式的屬性欄位唯一且存在,通義靈碼將按此進行帳號匹配。選擇自動綁定郵箱相同的帳號的綁定過程:

      3. 配置使用者屬性對應欄位。填寫必填項,如:姓名、登入帳號、郵箱。

        說明

        需要保證登入帳號、用於帳號綁定識別的屬性欄位的唯一性,且必須填寫。

      填寫完成後,單擊下一步

    3. 開啟服務。

      1. 單擊單點登入開關按鈕。開啟後,在通義靈碼登入頁面中即可快速跳轉 OIDC 登入頁面,通過 OIDC 登入通義靈碼。

      2. 修改 OIDC 顯示名稱和顯示表徵圖。修改後通義靈碼將按照修改的內容顯示 OIDC 的資訊。

      3. 進階設定:允許登入時建立通義靈碼帳號預設登入時優先進行帳號綁定,勾選後允許登入時為使用者建立通義靈碼帳號。

      完成所有配置後,點擊儲存配置按鈕即可。

    四、驗證通義靈碼 SSO

    開啟單點登入後,雲效登入頁面顯示 OIDC 登入入口。點擊後進入 OIDC 帳號登入頁面,已綁定 OIDC 帳號的使用者可以登入。