单点登录至泛微e-cology
概述
泛微e-cology是泛微公司为中大型组织创建全新的高效协同办公环境,支持通过OAuth协议对接OneAccess系统,实现通过OneAccess单点登录的功能。
本文主要介绍OneAccess以OAuth协议集成泛微e-cology的方法。
配置流程
前提条件
- 请确保您已拥有OneAccess管理门户的访问权限。
- 请确保您已拥有泛微e-cology的管理员权限,并支持OAuth2集成。
在OneAccess中添加企业应用
在OneAccess管理门户中添加企业应用,通过配置认证信息,可以建立OneAccess对企业应用的信任关系。
- 登录OneAccess管理门户。
- 在导航栏中,单击“资源 > 应用”。
- 在企业应用页面,单击自建应用下的“添加自建应用”,设置Logo和名称,单击“保存”。
在OneAccess中配置企业应用
在OneAccess中配置应用的信息,确保用户可以通过OneAccess登录企业应用。包括认证配置、 映射配置、授权用户。
- 认证配置
- 单击在OneAccess中添加企业应用中添加的企业应用,在应用信息页面单击应用图标。
- 在通用信息模块,单击“认证集成”后的打开认证集成设置,此处选择OAuth协议,单击“保存”。
应用认证集成协议一旦设置不可修改。
图1 设置认证集成协议
- 在通用信息模块,单击“认证集成”后的“配置”,进入“认证集成(OAUTH)”的“参数配置”页签。
图2 配置认证参数
- 回调地址填写泛微e-cology登录地址。
- 可根据需要在映射配置中添加获取用户信息接口返回给泛微e-cology的参数,用以和泛微e-cology用户进行绑定。
在泛微e-cology中配置OneAccess对接信息
在企业应用中配置OneAccess的授权信息,以建立企业应用对OneAccess的信任。
- 获取OneAccess侧的ClientId和ClientSecret。
单击在OneAccess中添加企业应用中添加的企业应用,在应用信息页面单击应用图标,在应用详情页面获取ClientId和ClientSecret。
- ClientSecret需单击“启用”生成。
- ClientSecret是校验开发者身份的密码,具备高安全性,切勿将其直接提供给第三方开发者或直接存储在代码中。
- 重置后的ClientSecret即时生效,所有使用原ClientSecret的接口将全部失效,请谨慎重置。
- OneAccess不存储ClientSecret,当获取ClientSecret后,请妥善保管。
图3 获取ClientId和ClientSecret
- 获取OneAccess侧的认证信息。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 服务配置”进入服务配置页面。
- 单击“OIDC”。
- 在弹出的OIDC页面,查看认证地址。
- 登录泛微e-cology,配置和OneAccess的信任关系。
- 登录泛微e-cology后台。
- 选择后端引擎“应用中心 > 集成中心 > 统一认证中心 > 认证接入管理”,启用OAuth2集成。
- 编辑OAuth2集成配置后保存。
图4 OAuth配置页面
表1 Oauth配置页面参数 参数
说明
client_id_key
固定值:client_id。
client_id
配置1中获取的ClientId。
client_secret_key
固定值:client_secret。
client_secret
配置1中获取的ClientSecret。
code_key
固定值:code。
access_token_key
固定值:access_token。
refresh_token_key
可不填。
refresh_uri_key
固定值:redirect_uri。
图5 请求用户授权接口配置
表2 请求用户授权接口配置参数 参数
说明
接口地址
配置2中获取的认证授权地址。
请求方法
固定值:GET。
请求参数
固定值:
client_id:${client_id}
response_type:code
redirect_uri:${redirect_uri}
图6 获取授权Token接口配置
表3 请求用户授权接口配置参数 参数
说明
接口地址
配置2中获取的获取Token地址。
请求方法
固定值:POST。
请求参数
固定值:
client_id :${client_id}
client_secret :${client_secret}
grant_type:authorization_code
code:${code}
redirect_uri:${redirect_uri}
图7 获取用户信息接口配置
表4 请求用户授权接口配置参数 参数
说明
接口地址
配置2中获取的UserInfo地址。
请求方法
固定值:GET。
Ecology 账号规则
根据实际使用的登录Ecology的规则配置,例如:登录名。
返回格式
固定值:JSON。
取值字段
根据实际OneAccess和Ecology的映射配置,例如:userName。
请求头
固定值:Authorization:Bearer ${access_token}。
图8 统一退出接口配置
表5 统一退出接口配置参数 参数
说明
接口地址
OneAccess的域名拼接泛微e-cology的登录地址,例如:https://*****.huaweioneaccess.com/api/ams/logout?redirectToUrl=https://oa.example.com/
请求方法
固定值:GET
OneAccess用户登录验证
使用授权用户中的已授权用户访问用户门户,成功登录以后,单击泛微e-cology的图标即可进入泛微e-cology。