功能介紹

OIDC是一個基于OAuth2協議的身份認證標準協議。接入后，AOne可使用支持OIDC認證的第三方登錄應用作為身份源進行登錄認證。

前置條件

請提前準備一個支持OIDC協議的應用服務。

操作步驟

管理員創建OIDC認證源

1、添加認證源

登錄AOne零信任工作臺，進入擴展認證源列表，點擊“添加認證源”，進行OIDC認證源添加。

2、選擇認證源類型

根據需求，選擇OIDC認證源類型。

3、配置認證源

選擇OIDC認證源類型，輸入配置參數，完成OIDC認證源配置。

注意：配置認證源所需的參數信息需從第三方OIDC協議的服務應用詳情中獲取，系統可根據Issuer URL自動解析并填充授權端點、令牌端點、公鑰端點、用戶信息端點信息，完成配置后點擊“下一步”進行保存。

配置參數說明：

參數
說明
認證源名稱
必填，默認“OIDC”，可修改，最長16個字。
Scopes
非必填，請求授權端點時攜帶的Scopes信息，代表申請的授權范圍。
Issuer URL
必填，ODIC Issuer發現端點，在第三方OIDC協議的服務應用詳情中獲取。
授權端點
必填，Authorization授權端點，用于獲取授權碼。由系統根據Issuer URL自動解析獲取。
令牌端點
必填，Token令牌端點，用于使用授權碼換取令牌。由系統根據Issuer URL自動解析獲取。
公鑰端點
必填，JWKS公鑰端點，用于校驗id_token來源有效性。由系統根據Issuer URL自動解析獲取。
用戶信息端點
必填，用戶信息userinfo端點，用于獲取用戶基本信息。由系統根據Issuer URL自動解析獲取。
授權模式
非必填，固定值，不提供配置，默認為授權碼模式。
Client ID
必填，ODIC應用的Client ID。
Client Secret
必填，ODIC應用的Client Secret。
登錄模式
必填，以下兩個模式進行選擇一個：
登錄注冊：首次登錄時校驗該ODIC賬號是否已存在，不存在創建賬號。
僅用于登錄：只能登錄既有賬號，首次登錄需要先與之前的賬號綁定，賬號密碼為AOne用的賬號密碼，綁定后不再需要。
適用范圍
必填，固定值，不提供配置，展示認證源適用的終端。
Logo
非必填，在認證源列表展示的Logo。

4、完成

配置參數填寫完成后，點擊“下一步”完成任務配置，系統回到認證源列表，可查看認證源的相關信息。

在完成OIDC認證源的設置后，需要在OIDC應用中指定一個回調地址，以便在用戶完成認證后，服務應用能夠接收到認證結果。這個回調地址的格式是：//AOne域名/{poolId}/connection/oidc/{connectionId}/login/callback。

這里的{poolId}和{connectionId}分別代表用戶池和認證源的唯一標識符，需要將這兩個占位符替換為實際的用戶池ID和認證源ID。

登錄驗證

1. 需要通過AOne客戶端進行點擊“其他登錄方式”圖標。
2. 則自動打開瀏覽器，選擇對應登錄方式進行登錄。
3. 登錄完成自動拉起客戶端完成登錄。

管理員查看登錄賬號

當用戶池內的用戶使用OIDC認證源登錄后，管理員可在AOne零信任工作臺-身份-用戶與組織-用戶界面管理相關用戶。