创建自建应用

操作流程

图1 创建自建应用流程图

应用基本信息配置

1. 登录管理中心。
2. 选择左侧导航栏的“应用管理”。
3. 单击“添加自建应用”。
4. 输入应用名称，如“App-test”。
5. 上传应用图标，图标要求必须为JPG或PNG格式，大小不超过20KB，尺寸240*240px。
6. 选择应用类型，当前仅支持选择“Web”。
7. 设置应用负责人，输入并选择成员姓名，将成员设置为应用负责人。
   

   • 应用负责人即该应用的应用管理员，只有应用管理员才能更新该应用配置，其他管理员没有操作该应用的权限。
   • 普通成员不能成为应用负责人，需先成为组织管理员、部门管理员才能被设置为应用负责人。

8. 单击“确定”，进入认证集成页面。

认证集成配置

1. 选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改。
2. 根据选择的认证集成方式不同，需要配置不同的参数，参数说明如表1所示。配置完成后，单击“保存”。

   表1 认证集成配置参数说明

   认证集成方式	参数名称	参数说明
   OAuth2	首页URL	应用首页的URL地址，例：https://xx.xx。 支持设置多个首页的URL地址，可单击“新建URL”，添加新的URL地址。
   	管理员登录URL	可选项，管理员登录应用的URL地址。
   	退出地址	可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。
   	Refresh Token有效期（秒）	允许用户在多久时间内不用重新登录应用的时间。
   	Access Token有效期（秒）	允许用户在多久时间内保持登录应用的时间。
   OIDC	首页URL	应用首页的URL地址，例：https://xx.xx。
   	管理员登录URL	可选项，管理员登录应用的URL地址。
   	退出地址	可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。
   	授权码模式	可选项，是否开启授权码模式，默认开启。
   	TOKEN签名算法	支持选择：RS256、RS384、RS512。
   	Access Token有效期（秒）	允许用户在多久时间内保持登录应用的时间。
   	Refresh Token有效期（秒）	允许用户在多久时间内不用重新登录应用的时间。
   SAML	SP Entity ID	SP唯一标识，对应SP元数据文件中的“Entity ID”的值。
   	断言消费地址(ACS URL)	SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当认证成功后响应返回的值。
   	Name ID	用户在应用系统中的账号名对应字段，支持选择：邮箱、手机号、用户名、用户ID、账号名。
   	NameID Format	可选项，SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
   	Audience URI	可选项，允许使用SAML断言的资源，默认和SP Entity ID相同。
   	Single Logout URL	可选项，服务提供商提供会话注销功能，用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。
   	默认Relay State	可选项，使用在IdP发起的认证中，作为默认的一个值。
   	支持ForceAuth	可选项，如果SP要求重新认证，则强制用户再次认证。
   	Response签名	可选项，是否对SAML Response使用IdP的证书签名。
   	断言签名	可选项，断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。
   	数字签名算法	可选项，SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。
   	数字摘要算法	可选项，SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160，可在下拉框选择。
   	断言加密	可选项，是否对断言进行加密。
   	验证请求签名	可选项，是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。
   CAS3	首页URL	应用首页的URL地址，例：https://xx.xx。
   	管理员登录URL	可选项，管理员登录应用的URL地址。
   	退出地址	可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。

3. （可选）如果需要关联OrgID和自建应用的用户属性，可选择“映射配置”页签，单击“添加映射”，选择关联属性和映射属性，单击“确定”保存映射，单击“测试”，测试映射关系是否成立。

   需要修改映射时，可单击操作列的“编辑”进行修改。

（可选）同步集成配置

1. 当需要同步应用的数据给第三方系统时，可开启同步集成开关，详细的同步数据请参见联营Kit接口描述联营Kit接口描述。
2. 配置相关参数，参数说明如表2所示。

   表2 同步集成配置参数说明

   参数名称	参数说明
   回调URL	用于同步该应用的数据给其他第三方系统的URL。
   签名密钥	用于对回调消息体内容签名。
   加密密钥	用于传输ClientSecret的加密公钥。
   摘要算法	选择加密算法，如：SHA256或SHA1。 注意： SHA1安全强度不高，不建议使用。

（可选）登录配置

1. （可选）如果需要获取首页URL或管理员登录地址供其他用户使用，可单击获取。
   

   管理员登录地址为空即表示在5中未配置管理员登录地址。

2. （可选）如果已进行认证源管理，可选择开启认证源。根据开启的认证源类型不同，界面操作不同，具体如下。
   • 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。
   • 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，最多可关联3个，单击“保存”，界面提示“保存成功”即成功开启。
   

   • 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用。
   • 最多可以开启3个认证源，例如可以同时开启钉钉和2个OAuth认证源。

授权管理配置

1. 单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。
2. 选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后还需要选择指定的部门与人员或者用户组。单击“确认”。
   

   设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权账号的详细情况（包括姓名、账号名、应用侧角色、来源、更新时间和同步状态），支持按照时间或账号名进行过滤查询。

（可选）访问控制策略配置

1. 当需要控制用户在指定的时间或区域范围内访问应用时，可开启访问控制开关。
2. 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。
   

   默认策略用于访问该应用时无法匹配到应用访问策略的用户。

3. 单击“添加策略”，配置策略参数，参数说明如表3所示。

   表3 添加策略参数说明

   参数名称	参数说明
   策略名称	应用访问策略的名称。
   描述	可选项，应用访问策略的描述信息。
   访问时间	可选择任意时间、指定星期范围内或指定日期范围内。
   区域范围	可选择不限定或指定ip段。 选择指定ip段后，需先添加区域范围，包括设置区域名称、区域网段和描述信息。然后选择已添加的区域范围即可。
   访问策略	勾选访问策略。 允许访问：符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝：符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证：符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证，验证通过后即可访问该应用。

   

   策略添加完成后，可单击“是否生效”列的开启策略。开启后可单击“是否生效”列的关闭策略。

（可选）角色配置

可以按照如下操作配置自建应用的角色并为角色关联权限及数据范围，也支持批量导入角色配置数据，当角色配置后，支持导出已配置的角色数据。

1. 新建角色。
   1. 在“角色管理”页签，单击“新建角色”。
   2. 配置角色信息，具体参数请参见表4，配置完成后，单击“确定”。

      表4 角色信息参数说明

      参数名称	参数说明
      角色编码	自定义角色编码，最多可输出65个字符。
      角色名称	自定义角色名称，最多可输出33个字符。
      角色描述	填写角色描述，最多可输出256个字符。
      最大可申请时间	可以设置该角色可申请的最大时间，即用户申请该角色权限时可申请的最长时间。 单位为天，如设置180天，用户申请该角色权限时，权限的有效期最多只能设置到180天后。如不设置，则默认用户申请后权限3年内有效。
      审批人	需要设置用户申请该角色权限时的审批人。 按照角色审批：按照角色设置审批人，需要选择是否为OrgID应用角色，并选择对应角色。 按照用户审批：直接指定审批人。
      OrgID应用角色	选择是否为OrgID应用角色。 是：选择OrgID应用角色，包括部门管理员、组织管理员、超级管理员。 否：选择已创建的应用角色。

2. 新增权限。
   1. 在“权限管理”页签，单击“新增权限”。
   2. 配置权限信息，具体参数请参见表5，配置完成后，单击“确定”。

      表5 权限信息参数说明

      参数名称	参数说明
      权限编码	自定义权限编码，最多可输出65个字符。
      权限名称	自定义权限名称，最多可输出33个字符。
      权限描述	填写权限描述，最多可输出256个字符。
      权限类型	可以按照应用的API、菜单、按钮分别设置权限。
      权限内容	设置具体的权限内容，使用英文逗号隔开。 其中API权限需要输入正确的API格式，包括接口方法和路径，如：POST /v1/xxx,GET /v1/xxx。

3. 为角色配置权限。
   1. 在“角色管理”页签，角色列表中，单击已创建的角色所在行“操作”列的“权限配置”，如图2所示。
      图2 权限配置
      
   2. 单击“添加权限”。
   3. 可以在不同页签分别勾选已创建的权限，然后单击“确定”。

      完成角色与权限的关联，当用户申请相应角色权限后，只拥有该角色关联的权限。

4. 新增数据范围
   1. 在“数据范围”页签，单击“新增数据范围”。
   2. 输入数据范围编码、数据范围名称、数据范围描述，然后单击“确定”。

      新增后列表显示已新增的数据范围。

5. 为数据范围指定具体的数据明细
   1. 在“数据范围”页签，数据范围列表中，单击已新增的数据范围所在行“操作”列的“数据明细”，如图3所示。
      图3 数据明细
      
   2. 单击“新增”。
   3. 输入明细编码、明细名称、明细描述，然后单击“确定”。

6. 为角色添加数据范围
   1. 在“角色管理”页签，角色列表中，单击已创建的角色所在行“操作”列的“数据范围”，如图4所示。
      图4 添加数据范围
      
   2. 单击“添加数据范围”。
   3. 勾选已新增数据范围，然后单击“确定”。

更多操作

创建自建应用后，您还可以进行以下操作。