全部文档
当前文档

共搜索到 0 条结果

暂无内容

如果没有找到您期望的内容,请尝试其他搜索词

文档中心

OIDC

最近更新时间:2026-07-13 11:02:04

前言

金山云提供基于OAuth2.0协议的单点登录方式,支持OIDC(通用协议)和OAuth2.0(定制)两类非依赖IM工具的单点登录方式。

配置入口

1.服务开通时可选“身份源配置”,也可选在“开通后接入”

2.服务开通后可前往 KSCC控制台->选择“身份源配置”->服务管理->系统配置->企业登录身份源配置 进行身份源接入 >>>立即前往

Redirect URL

选择接入 OIDC或Oauth2.0 配置,系统都将自动生成回调地址(Redirect URI),你在后续 IDP 侧注册 OIDC/OAuth 2.0 应用时将需要使用。

生成的 SP 信息示例:

字段

示例值

Redirect URI (回调地址)

hhttps://shared.kscc.api.ksyun.com/callback/collaboration/cb

请前往 IDP 控制台创建 OAuth 2.0 / OIDC 应用,将上述 Redirect URI 添加到应用允许的回调地址列表中。创建完成后,IDP 会颁发 Client IDClient Secret,你将在下一步中使用。

身份源1: OIDC

推荐使用条件

如果你的 IDP 符合 OpenID Connect Discovery 规范(即暴露 /.well-known/openid-configuration 端点),请选择“OIDC”。

信息填写

  1. 填写以下字段:

    • Discovery URL: IDP 的签发者地址(例如 https://login.company.comhttps://oauth.aliyun.comhttps://your-tenant.authing.cn/oidc)。

    • Client ID: IDP 中为 KSCC应用颁发的客户端 ID。

    • Client Secret: IDP 中为KSCC应用颁发的客户端密钥。

    • Scopes(可选):请求的权限范围,默认包含 openid,推荐使用 openid email profile

  2. 鼠标移出编辑框,系统将自动从 {Discovery URL}/.well-known/openid-configuration 获取并解析:

    • Authorization Endpoint

    • Token Endpoint

    • UserInfo Endpoint

    • JWKS URL(用于验证 ID Token 签名)

    • 支持的签名算法

  3. 配置属性映射

    • 配置 OIDC UserInfo 中的 Claim 与系统字段的映射:

      • Email Claim: 用户邮箱对应的 Claim 名,通常为 email。(必填)

      • Name Claim: 用户显示名称对应的 Claim 名,通常为 namenickname

  4. 填写完成后,系统将自动触发链接测试,连接测试通过即可点击“立即开通”或”立即设置“

身份源2:OAuth

推荐使用条件

如果你的 IDP 不符合 OpenID Connect Discovery 规范(即暴露 /.well-known/openid-configuration 端点),请选择“OAuth”。

信息填写

  1. 应用信息

    • 应用标识 Client ID: IDP 中为 KSCC应用颁发的客户端 ID。

    • 应用密钥 Client Secret: IDP 中为KSCC应用颁发的客户端密钥。

  2. OAth2 接口地址

    • 用户授权地址,用户登录重定向的目标地址

    • 令牌获取地址,用于获取Access Token的地址

    • 用户信息地址,用户获取用户信息的地址

    • 授权范围,请求的权限范围,默认包含 openid,推荐使用 openid email profile

  3. 鼠标移出编辑框,系统将自动从 {Discovery URL}/.well-known/openid-configuration 获取并解析:

    • Authorization Endpoint

    • Token Endpoint

    • UserInfo Endpoint

    • JWKS URL(用于验证 ID Token 签名)

    • 支持的签名算法

  4. 用户信息映射

    SSO 可以自动创建和映射用户,因此需要配置如何将来自身份提供商 (IDP) 的用户属性映射到系统字段

    • 用户唯一标识字段:用户唯一id

    • 用户邮箱字段: 用户邮箱对应的 Claim 名,通常为 email。(必填)

    • 用户名称字段: 用户显示名称对应的 Claim 名,通常为 namenickname

  5. 高级配置

    • Client ID参数名:默认client_ID,可修改,指的是金山云向IDP平台发起请求时,应用id的参数字段是什么

    • 客户端认证方式:Http Basic认证/请求体传递密钥 两类可选,

      • Http Basic认证:指在请求header中标准basic认证

      • 请求体传递密钥 :指在请求body中传递应用标识 Client ID&应用密钥 Client Secret

    • Token请求格式:表单格式/JSON格式

      • Token Endpoint的调用方式

    • Access Token 获取字段路径:默认 access_token,可修改。指的是上文中 TokenEndpoint 请求的返回body中的Access Token所在的路径或字段名

    • Access Token 传递字段方式:调用UserInfo Endpoint请求的

    • 用户数据跟路径:指的是上文中 UserInfo Endpoint 请求的返回body中的用户信息三要素所在的路径或字段名

文档导读
纯净模式常规模式

纯净模式

点击可全屏预览文档内容
文档反馈