最近更新时间:2026-07-13 11:02:04
金山云提供基于OAuth2.0协议的单点登录方式,支持OIDC(通用协议)和OAuth2.0(定制)两类非依赖IM工具的单点登录方式。
1.服务开通时可选“身份源配置”,也可选在“开通后接入”
2.服务开通后可前往 KSCC控制台->选择“身份源配置”->服务管理->系统配置->企业登录身份源配置 进行身份源接入 >>>立即前往
选择接入 OIDC或Oauth2.0 配置,系统都将自动生成回调地址(Redirect URI),你在后续 IDP 侧注册 OIDC/OAuth 2.0 应用时将需要使用。
生成的 SP 信息示例:
字段 | 示例值 |
|---|---|
Redirect URI (回调地址) |
|
请前往 IDP 控制台创建 OAuth 2.0 / OIDC 应用,将上述 Redirect URI 添加到应用允许的回调地址列表中。创建完成后,IDP 会颁发 Client ID 与 Client Secret,你将在下一步中使用。
推荐使用条件
如果你的 IDP 符合 OpenID Connect Discovery 规范(即暴露 /.well-known/openid-configuration 端点),请选择“OIDC”。
信息填写
填写以下字段:
Discovery URL: IDP 的签发者地址(例如 https://login.company.com、https://oauth.aliyun.com、https://your-tenant.authing.cn/oidc)。
Client ID: IDP 中为 KSCC应用颁发的客户端 ID。
Client Secret: IDP 中为KSCC应用颁发的客户端密钥。
Scopes(可选):请求的权限范围,默认包含 openid,推荐使用 openid email profile。
鼠标移出编辑框,系统将自动从 {Discovery URL}/.well-known/openid-configuration 获取并解析:
Authorization Endpoint
Token Endpoint
UserInfo Endpoint
JWKS URL(用于验证 ID Token 签名)
支持的签名算法
配置属性映射
配置 OIDC UserInfo 中的 Claim 与系统字段的映射:
Email Claim: 用户邮箱对应的 Claim 名,通常为 email。(必填)
Name Claim: 用户显示名称对应的 Claim 名,通常为 name 或 nickname。
填写完成后,系统将自动触发链接测试,连接测试通过即可点击“立即开通”或”立即设置“
推荐使用条件
如果你的 IDP 不符合 OpenID Connect Discovery 规范(即暴露 /.well-known/openid-configuration 端点),请选择“OAuth”。
信息填写
应用信息
应用标识 Client ID: IDP 中为 KSCC应用颁发的客户端 ID。
应用密钥 Client Secret: IDP 中为KSCC应用颁发的客户端密钥。
OAth2 接口地址
用户授权地址,用户登录重定向的目标地址
令牌获取地址,用于获取Access Token的地址
用户信息地址,用户获取用户信息的地址
授权范围,请求的权限范围,默认包含 openid,推荐使用 openid email profile
鼠标移出编辑框,系统将自动从 {Discovery URL}/.well-known/openid-configuration 获取并解析:
Authorization Endpoint
Token Endpoint
UserInfo Endpoint
JWKS URL(用于验证 ID Token 签名)
支持的签名算法
用户信息映射
SSO 可以自动创建和映射用户,因此需要配置如何将来自身份提供商 (IDP) 的用户属性映射到系统字段
用户唯一标识字段:用户唯一id
用户邮箱字段: 用户邮箱对应的 Claim 名,通常为 email。(必填)
用户名称字段: 用户显示名称对应的 Claim 名,通常为 name 或 nickname。
高级配置
Client ID参数名:默认client_ID,可修改,指的是金山云向IDP平台发起请求时,应用id的参数字段是什么
客户端认证方式:Http Basic认证/请求体传递密钥 两类可选,
Http Basic认证:指在请求header中标准basic认证
请求体传递密钥 :指在请求body中传递应用标识 Client ID&应用密钥 Client Secret
Token请求格式:表单格式/JSON格式
Token Endpoint的调用方式
Access Token 获取字段路径:默认 access_token,可修改。指的是上文中 TokenEndpoint 请求的返回body中的Access Token所在的路径或字段名
Access Token 传递字段方式:调用UserInfo Endpoint请求的
用户数据跟路径:指的是上文中 UserInfo Endpoint 请求的返回body中的用户信息三要素所在的路径或字段名
纯净模式
