功能介绍
单点登录(Single Sign-On,简称 SSO)是一种身份验证机制,它允许用户使用一组唯一的认证凭证(如用户名和密码)来访问多个相关但独立的软件系统。通过SSO,用户只需要登录一次就可以访问所有相互信任的应用系统,而不需要为每个应用单独进行登录操作。这种机制极大地提高了用户体验,减少了重复输入凭据的麻烦,并且可以提高安全性。
注意
仅购买零信任-基础版及以上客户支持该配置。
单点登录按照应用粒度进行配置,应用配置为“Web应用”类型支持配置管理该功能,使用该功能涉及对应应用系统配合开发。
操作步骤
1.登录边缘安全加速平台控制台。
2.支持在AOne零信任工作台进行配置。
3.在左侧导航栏,选择应用-应用配置-应用列表进行相应配置(仅支持应用编辑时配置该功能)。
单点登录配置
目前单点登录模式可选择OIDC协议、AOnelet自定义协议进行配置,客户可按需进行选择。
OIDC协议:业界最主流的OIDC协议,OIDC授权码模式适用于大部分场景,需要应用能够出公网,访问AOne认证的服务器。
AOnelet协议:如果应用完全不能出公网或者是独立的APP,则推荐使用AOnelet自定义协议对接。
实现效果
应用配置开启单点登录,对应应用系统完成对接改造,则通过AOne客户端-我的应用打开对应应用,则默认会携带应用单点相关参数,无需输入应用系统账密即可访问。
OIDC协议
标准的OIDC授权码模式,应用需要通过公网访问AOne的服务器进行校验,安全性更高。
字段说明
| 字段 | 说明 |
|---|---|
| 服务发现地址 | 提供给应用的一个URL,应用可以通过该地址获取对接所需的URL和参数,如授权端点、令牌端点、用户信息端点等。 |
| 重定向URI | 如果配置了此项,在授权请求时就可以不传递redirect_uri参数,如果授权请求时,传递了redirect_uri参数,则以授权请求时传递的参数为准。注意:重定向URI中不能包括#号。 |
| 重定向URI匹配规则 | 为避免Open Redirect漏洞,可定义redirect_uri的匹配规则,定义后redirect_uri必须匹配本规则才能跳转。本规则支持简单*号匹配。 |
| 身份令牌签名算法 | 固定RS256。 |
| 过期时间 | 授权码code:一般为5-10分钟。这是因为授权码在OIDC流程中只是一个临时的凭证,用于换取访问令牌和身份令牌,配置时间较短以减少被盗用的风险。 身份令牌id_token:一般为1小时或者更短。因为身份令牌包含用户的身份信息,为了安全起见,不应该长时间有效。 访问令牌access_token:时间会更长一些,但通常不会超过1天。因为访问令牌用于访问受保护的资源,其有效期取决于资源的敏感性和安全要求。 刷新令牌refresh_token:刷新令牌用于在访问令牌过期后获取新的访问令牌,而无需用户再次进行身份验证,提升用户体验。 |
AOnelet自定义协议
自定义协议,可通过访问携带的参数进行本地验证,接入更便捷。
字段说明
| 字段 | 说明 |
|---|---|
| 传递参数定义 | 跳转到客户配置的应用入口URL里的id_token参数名。 |
| 参数加密算法 | 固定RS256。 |
| 身份令牌过期时间 | 一般为1小时或者更短。因为身份令牌包含用户的身份信息,为了安全起见,不应该长时间有效。 |
| Scope授权范围 | 指的是解析id_token后的用户数据包含的字段(用户名,手机号,邮箱等)。 |
