9.5.6.9. OAuth 2.0 集成

本文主要介紹通過(guò) OAuth 2.0 認(rèn)證協(xié)議實(shí)現(xiàn)通義靈碼靈碼單點(diǎn)登錄。

創(chuàng)建范圍外用戶(hù)

企業(yè)管理員可以在企業(yè)管理 > 第三方集成中配置和管理 OAuth 2.0 。如果需要?jiǎng)?chuàng)建不在 OAuth 2.0 中的用戶(hù)，可以勾選支持內(nèi)建用戶(hù)，可以創(chuàng)建同步范圍外的用戶(hù)。

配置 OAuth 2.0

步驟一： 配置OAuth Client

在配置 OAuth 2.0 之前，需按頁(yè)面提示創(chuàng)建 OAuth 2.0 Client，確認(rèn)是否跳過(guò) HTTPS 驗(yàn)證，并將 OAuth 2.0 Client 的相關(guān)信息填寫(xiě)到表單中。

• Client ID

• Client Secret

• Auth URL

• Token URL

• User Info URL

填寫(xiě)完成后，單擊下一步。

步驟二：配置賬號(hào)綁定與屬性映射

目前提供 4 種賬號(hào)識(shí)別和綁定方式：

• 自動(dòng)綁定郵箱相同的賬號(hào)；

• 自動(dòng)綁定登錄賬號(hào)相同的賬號(hào)；

• 自動(dòng)綁定手機(jī)號(hào)相同的賬號(hào)；

• 自動(dòng)綁定工號(hào)相同的賬號(hào)；

按照同步策略，自動(dòng)將通義靈碼靈碼、OAuth 2.0 中相同屬性的用戶(hù)綁定在一起。請(qǐng)確保所選屬性字段的唯一性和存在性。

接下來(lái)需配置用戶(hù)屬性映射的字段，通義靈碼靈碼將按照下圖中的設(shè)置進(jìn)行信息映射。

填寫(xiě)完成，單擊下一步。

步驟三：開(kāi)啟單點(diǎn)登錄服務(wù)

在配置過(guò)程中，單點(diǎn)登錄的功能默認(rèn)不開(kāi)啟，開(kāi)啟后，可進(jìn)行 OAuth 2.0 單點(diǎn)登錄相關(guān)配置：

• 將通義靈碼靈碼的回調(diào)地址配置到 OAuth 2.0 Client 中。

• 修改 OAuth 2.0 顯示名稱(chēng)和顯示圖標(biāo)，修改后系統(tǒng)將按照修改的內(nèi)容顯示 OAuth 2.0 的信息。

• 允許開(kāi)啟首次登錄時(shí)創(chuàng)建通義靈碼靈碼賬號(hào)：

  • 默認(rèn)不勾選：僅允許 OAuth 2.0 賬號(hào)與通義靈碼靈碼賬號(hào)綁定，無(wú)法匹配時(shí)不會(huì)創(chuàng)建新賬號(hào)。

  • 勾選后：允許在 OAuth 2.0 賬號(hào)無(wú)法匹配到通義靈碼靈碼賬號(hào)時(shí)，創(chuàng)建新賬號(hào)并綁定。

如果選擇不開(kāi)啟單點(diǎn)登錄，也可保存配置，后續(xù)可在 Oauth 2.0 集成詳情頁(yè)面中開(kāi)啟服務(wù)。

完成所有配置后，單擊保存配置按鈕即可完成 OAuth 2.0 集成的配置。

通過(guò) OAuth 2.0 登錄通義靈碼靈碼

開(kāi)啟單點(diǎn)登錄后，通義靈碼靈碼登錄頁(yè)面將顯示 OAuth 2.0 登錄入口。點(diǎn)擊該入口，已綁定 OAuth 2.0 賬號(hào)的用戶(hù)可以通過(guò)該賬號(hào)登錄。

退出登錄

如果勾選了登出態(tài)同步（SLO），用戶(hù)在通義靈碼靈碼退出登錄時(shí)，會(huì)同時(shí)退出 OAuth 2.0 IdP 的登錄狀態(tài)。

會(huì)話(huà)持續(xù)時(shí)間和時(shí)長(zhǎng)

會(huì)話(huà)持續(xù)時(shí)間以通義靈碼靈碼設(shè)置的為準(zhǔn)，若超過(guò)設(shè)置的登錄保持時(shí)間，會(huì)退出通義靈碼靈碼，如需繼續(xù)使用通義靈碼靈碼需要重新登錄。

修改 OAuth 2.0 配置

在 OAuth 2.0 集成詳情頁(yè)，有查看/修改配置入口，單擊后在抽屜中修改非必填的用戶(hù)屬性映 射信息，其他配置信息不允許修改。

關(guān)閉單點(diǎn)登錄服務(wù)

在 OAuth 2.0 集成詳情頁(yè)，已經(jīng)開(kāi)啟單點(diǎn)登錄時(shí)，單擊修改服務(wù)配置，在打開(kāi)的抽屜中關(guān)閉單點(diǎn)登錄服務(wù)，關(guān)閉后：

• 云效賬號(hào)與 OAuth 2.0 賬號(hào)的綁定關(guān)系不會(huì)解除；

• 無(wú)法通過(guò) OAuth 2.0 賬號(hào)登錄通義靈碼靈碼，需使用通義靈碼靈碼的登錄賬號(hào)和密碼。

移除 OAuth 2.0 集成

在 Oauth 2.0 集成詳情頁(yè)，單擊移除集成按鈕并確認(rèn)，即可移除 Oauth 2.0 集成。移除后：

• 解除通義靈碼靈碼賬號(hào)和 OAuth 2.0 賬號(hào)的綁定關(guān)系。

• 不支持通過(guò) OAuth 2.0 登錄通義靈碼靈碼，如有需求用戶(hù)可使用通義靈碼靈碼賬號(hào)和密碼登錄。