组织成员账号 ORGID-创建自建应用:认证集成配置
下载组织成员账号 ORGID用户手册完整版
认证集成配置
- 选择认证集成方式:OAuth2、OIDC、SAML、CAS3,选择后不支持修改。
- 根据选择的认证集成方式不同,需要配置不同的参数,参数说明如表1所示。配置完成后,单击“保存”。
表1 认证集成配置参数说明 认证集成方式
参数名称
参数说明
OAuth2
首页URL
应用首页的URL地址,例:https://xx.xx。
支持设置多个首页的URL地址,可单击“新建URL”,添加新的URL地址。
管理员登录URL
可选项,管理员登录应用的URL地址。
退出地址
可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。
Refresh Token有效期(秒)
允许用户在多久时间内不用重新登录应用的时间。
Access Token有效期(秒)
允许用户在多久时间内保持登录应用的时间。
OIDC
首页URL
应用首页的URL地址,例:https://xx.xx。
管理员登录URL
可选项,管理员登录应用的URL地址。
退出地址
可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。
授权码模式
可选项,是否开启授权码模式,默认开启。
TOKEN签名算法
支持选择:RS256、RS384、RS512。
Access Token有效期(秒)
允许用户在多久时间内保持登录应用的时间。
Refresh Token有效期(秒)
允许用户在多久时间内不用重新登录应用的时间。
SAML
SP Entity ID
SP唯一标识,对应SP元数据文件中的“Entity ID”的值。
断言消费地址(A CS URL)
SP回调地址(断言消费服务地址),对应SP元数据文件中“AssertionConsumerService”的值,即当认证成功后响应返回的值。
Name ID
用户在应用系统中的账号名对应字段,支持选择:邮箱、手机号、用户名、用户ID、账号名。
NameID Format
可选项,SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择:
- urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- urn:oasis:names:tc:SAML:2.0:nameid-format:transient
- urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
Audience URI
可选项,允许使用SAML断言的资源,默认和SP Entity ID相同。
Single Logout URL
可选项,服务提供商提供会话注销功能,用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。
默认Relay State
可选项,使用在IdP发起的认证中,作为默认的一个值。
支持ForceAuth
可选项,如果SP要求重新认证,则强制用户再次认证。
Response签名
可选项,是否对SAML Response使用IdP的证书签名。
断言签名
可选项,断言需使用IdP的证书签名,对应SP元数据文件中“WantAssertionsSigned”值。
数字签名算法
可选项,SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160,可在下拉框选择。
数字摘要算法
可选项,SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160,可在下拉框选择。
断言加密
可选项,是否对断言进行加密。
验证请求签名
可选项,是否对SAML Request签名进行验证,对应SP元数据文件中“AuthnRequestsSigned”值。
CAS3
首页URL
应用首页的URL地址,例:https://xx.xx。
管理员登录URL
可选项,管理员登录应用的URL地址。
退出地址
可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。
- (可选)如果需要关联OrgID和自建应用的用户属性,可选择“映射配置”页签,单击“添加映射”,选择关联属性和映射属性,单击“确定”保存映射,单击“测试”,测试映射关系是否成立。
需要修改映射时,可单击操作列的“编辑”进行修改。
