功能介紹

OAuth 2.0 是行業標準的授權協議，允許第三方應用在獲得用戶許可后，訪問用戶在某個服務上的資源，而不需要將用戶的用戶名和密碼透露給第三方應用。接入后，AOne可使用支持OAuth 2.0認證的第三方登錄應用作為身份源進行登錄認證。

前置條件

請提前準備一個支持OAuth 2.0協議的應用服務。

注意
目前該能力暫未全面開放至控制臺，若想要進行該能力配置，可聯系我們進行開啟。

操作步驟

管理員創建OAuth 2.0認證源

1、添加認證源

登錄AOne零信任工作臺，進入擴展認證源列表，點擊“添加認證源”，進行OAuth 2.0認證源添加。

2、選擇認證源類型

根據需求，選擇OAuth 2.0認證源類型。

3、配置認證源

選擇OAuth 2.0認證源類型，輸入配置參數，完成OAuth 2.0認證源配置。

配置參數說明：

參數
說明
認證源名稱
必填，默認“OAuth 2.0”，可修改，最長16個字。
授權URL
必填，OAuth2.0應用的授權URL，用來向 OAuth2.0 IdP 發起認證請求的 URL。
Token URL
必填，OAuth2.0應用的Token URL，用來從 OAuth2.0 IdP 處獲取身份信息的 URL。
Client ID
必填，OAuth2.0應用的Client ID。
Client Secret
必填，OAuth2.0應用的Client Secret。
Scopes
非必填，請求授權端點時攜帶的Scopes信息，代表申請的授權范圍。
授權模式
非必填，固定值，不提供配置，默認為授權碼模式。
用戶信息端點
必填，用戶信息userinfo端點，用于獲取用戶基本信息。
登錄模式
必填，以下兩個模式進行選擇一個：
登錄注冊：首次登錄時校驗該OAuth 2.0賬號是否已存在，不存在創建賬號。
僅用于登錄：只能登錄既有賬號，首次登錄需要先與之前的賬號綁定，賬號密碼為AOne用的賬號密碼，綁定后不再需要。
適用范圍
必填，固定值，不提供配置，展示認證源適用的終端。
Logo
非必填，在認證源列表展示的Logo。

4、完成

配置參數填寫完成后，點擊“下一步”完成任務配置，系統回到認證源列表，可查看認證源的相關信息。

在完成OAuth 2.0認證源設置后，需要在第三方服務應用中指定一個回調地址，以便在用戶完成認證后，服務應用能夠接收到認證結果。回調地址格式是：//AOne域名（控制臺獲取）/{poolId}/connection/oidc/{connectionId}/login/callback。

其中{poolId}和{connectionId}分別代表用戶池和認證源的唯一標識符，需要將這兩個占位符替換為實際的用戶池ID和認證源ID。

登錄驗證

1. 需要通過AOne客戶端進行點擊“其他登錄方式”圖標。
2. 則自動打開瀏覽器，選擇對應登錄方式進行登錄。
3. 登錄完成自動拉起客戶端完成登錄。

管理員查看登錄賬號

當用戶池內的用戶使用OAuth 2.0認證源登錄后，管理員可在AOne零信任工作臺-身份-用戶與組織-用戶界面管理相關用戶。