更新时间:2024-06-25 GMT+08:00
基于OrgID的单点登录配置
背景介绍
组织成员帐号(OrgID)是面向企业提供组织管理、企业成员账号管理以及SaaS应用授权管理能力的云服务,将Huawei ID账号体系延伸到企业用户,统一华为云面向生态SaaS服务的组织、账号,同时面向生态伙伴推出SaaS服务账号集成规范。当前CraftArts IPDCenter在公有云场景使用OrgID作为认证登录服务。
前提条件
- 已开通OrgID服务。
- 邀请注册账号加入CraftArts IPDCenter组织,并授予管理员权限 (与CraftArts IPDCenter集成时,采用此种方式,各应用共用一个组织)。
基本信息配置
- 登录管理中心。
- 选择左侧导航栏的“应用管理”。
- 单击“添加自建应用”。
图1 添加自建应用
- 输入应用名称,如“自建App”。
- 上传应用图标,图标要求必须为JPG或PNG格式,大小不超过20KB,尺寸240*240px。
- 选择应用类型,当前仅支持选择“Web”。
- 设置应用负责人,输入并选择成员姓名,将成员设置为应用负责人。
- 应用负责人即该应用的应用管理员,只有应用管理员才能更新该应用配置,其他管理员没有操作该应用的权限。
- 普通成员不能成为应用负责人,需先成为组织管理员、部门管理员才能被设置为应用负责人。
- 单击“确定”,进入认证集成页面。
认证集成配置
OrgID的登录集成方式推荐使用OAuth2。
图2 选择认证方式
认证集成方式 |
参数名称 |
参数说明 |
|---|---|---|
OAuth2 |
首页URL |
应用首页的URL地址,例:https://xx.xx。 支持设置多个首页的URL地址,可单击“新建URL”,添加新的URL地址。 |
管理员登录URL |
可选项,管理员登录应用的URL地址。 |
|
退出地址 |
可选项,应用的退出地址,请以http或https开头,例:https://xx.xx/logout。 |
|
Refresh Token有效期(秒) |
允许用户在多久时间内不用重新登录应用的时间。 |
|
Access Token有效期(秒) |
允许用户在多久时间内保持登录应用的时间。 |
配置“首页URL”,此参数配置为产品首页的URL,集成OrgID后,在OrgID登录成功后会跳转到此地址,并携带认证参数。
授权管理配置
在授权管理页面对用户进行授权(配置哪些账号可以登录此应用)。
- 单击“授权设置”,在“授权设置”界面中选择被授权成员信息,单击“下一步”。
图3 授权设置-1
- 选择可用成员范围,可勾选“全员可用”或“自定义人员范围”,勾选“自定义人员范围”后还需要选择指定的部门与成员或者用户组。
图4 授权设置-2
设置后,应用授权范围中会显示授权部门、授权成员或授权用户组信息。同时,授权用户列表中也会展示授权账号的详细情况(包括姓名、账号名、应用侧角色、来源、更新时间和同步状态),支持按照时间或账号名进行过滤查询。
- 单击“确定”。
接口对接配置
应用需要完成的逻辑
- 在用户访问应用时,应用需要判断是否已经登录,如果没有登录,需要重定向到OrgID登录页面,获取认证集成配置中的“首页URL”地址。
- 用户在OrgID登录成功后,OrgID会自动重定向到应用页面,同时会携带授权码,此时,应用在后端需要通过授权码调用OrgID的2个接口(getToken接口、getUserInfo接口),换取具体的用户信息。
OrgID接口信息地址
图5 通过授权码获取token接口
图6 通过token获取用户信息接口
父主题: 统一认证配置指南
