本文重點介紹了如何在IDaaS中管理應用的通用配置,特別是介面訪問的開啟/關閉以及執行密鑰輪轉的安全機制和操作流程。
通用配置
每個應用都有一些跨功能、或與功能平行的配置,統一在通用配置中進行管理。
請您前往應用菜單,找到需要管理的應用單擊管理,來到通用配置。
目前的版本中,管理員可以開啟/關閉介面訪問狀態,並對密鑰進行輪轉。
介面訪問
IDaaS對每個應用,均可配置開啟一系列介面,供不同功能情境來調用。包含:
基於OIDC協議的單點登入相關介面
賬戶同步相關介面
許可權託管相關介面
未來版本
這些情境介面,均需共用這裡的client_id和client_secret,擷取到access_token存取權杖後,才能獲權調用。
預設情況下client_id與application_id一致,以 "app_" 開始,長度約26個字元,client_secret是以CS開始的隨機字串,長度在[44,46]個字元之間。
密鑰輪轉
為保障應用訪問安全,IDaaS 支援管理員對應用的介面訪問狀態進行管理,並執行密鑰 (client_secret) 輪轉操作。每個應用均可配置自訂周期的密鑰輪轉策略。
核心機制:雙密鑰支援
每個應用最多可同時擁有兩個有效 client_secret。
在任意時刻,必須至少有一個 client_secret 處於啟用狀態。
此設計允許在輪轉期間新舊密鑰並行有效,確保業務平滑過渡。您可以在確認舊密鑰完全停用後,再安全刪除它。
設定密鑰有效期間
在應用密鑰管理介面,找到 設定有效期間 選項並單擊。
在彈出的對話方塊中,選擇所需的到期時間:
三个月。勾選三個月固定有效期間時,系統應自動彈出提示文案,按自然月規則計算並顯示具體有效期間到期日(例如當前日期為9月18日,則有效期間至10月18日)。
六个月。按自然月規則計算並顯示具體有效期間到期日(例如當前日期為9月18日,則有效期間至次年3月18日)。
一年。按自然月規則計算並顯示具體有效期間到期日(例如當前日期為9月18日,則有效期間至次年9月18日)。
自定义。指定具體的日期與時間,自訂有效期間邏輯與Bearer Token保持一致,有效期間範圍限定為1天至3年且不可選擇1天以內或3年以上的日期,並統一採用快捷選擇模式(Bearer Token不支援永久有效)。
說明通過後端配置傳遞參數的Client secret預設有效期間是永久。
已經到期或距離到期小於等於3天時標註紅色文案提醒;臨近到期小於15天標註黃色文案提醒。
單擊確定儲存設定。
密鑰輪轉操作流程
遵循以下步驟安全地進行密鑰輪轉:
建立新密鑰:在應用的密鑰管理介面,建立一個新的 client_secret,系統會自動啟用新密鑰。
更新應用配置:在您的應用程式(使用該密鑰的應用)配置中,將舊的client_secret替換為建立的新密鑰。
禁用舊密鑰(驗證階段):返回 IDaaS 應用密鑰管理介面,找到舊的client_secret並執行禁用操作。 禁用操作前,系統會顯示該密鑰最近一次被使用的時間戳記。請仔細核對,確認該密鑰已無任何業務或系統在使用後,再完成禁用。
監控與驗證:禁用舊密鑰後,密切監控您的應用程式運行狀態和日誌,確保一切功能正常,未因密鑰變更受到影響。
刪除舊密鑰(最終清理):經過充分驗證(建議觀察一段時間,如幾天或一周),確認禁用舊密鑰後應用運行完全無影響,即可安全地刪除該歷史client_secret。
基礎資訊
欄位名 | 說明 |
應用ID | 應用資源標識ID。暫僅供參考使用。不可更改。 |
建立來源 | 應用建立時使用的建立模板。不可更改。 取值有三種:應用模板/標準協議/自研應用。 |
應用程式名稱 | 應用顯示名稱。 |
應用表徵圖 | 應用顯示表徵圖。必須為PNG/JPG格式,大小不超過1MB。建議使用256*256像素方形表徵圖。 |