通义灵码 OAuth 2.0 集成配置指南 - 单点登录实现

9.5.6.9. OAuth 2.0 集成

本文主要介绍通过 OAuth 2.0 认证协议实现通义灵码灵码单点登录。

创建范围外用户

企业管理员可以在企业管理 > 第三方集成中配置和管理 OAuth 2.0 。如果需要创建不在 OAuth 2.0 中的用户，可以勾选支持内建用户，可以创建同步范围外的用户。

配置 OAuth 2.0

步骤一： 配置OAuth Client

在配置 OAuth 2.0 之前，需按页面提示创建 OAuth 2.0 Client，确认是否跳过 HTTPS 验证，并将 OAuth 2.0 Client 的相关信息填写到表单中。

• Client ID

• Client Secret

• Auth URL

• Token URL

• User Info URL

填写完成后，单击下一步。

步骤二：配置账号绑定与属性映射

目前提供 4 种账号识别和绑定方式：

• 自动绑定邮箱相同的账号；

• 自动绑定登录账号相同的账号；

• 自动绑定手机号相同的账号；

• 自动绑定工号相同的账号；

按照同步策略，自动将通义灵码灵码、OAuth 2.0 中相同属性的用户绑定在一起。请确保所选属性字段的唯一性和存在性。

接下来需配置用户属性映射的字段，通义灵码灵码将按照下图中的设置进行信息映射。

填写完成，单击下一步。

步骤三：开启单点登录服务

在配置过程中，单点登录的功能默认不开启，开启后，可进行 OAuth 2.0 单点登录相关配置：

• 将通义灵码灵码的回调地址配置到 OAuth 2.0 Client 中。

• 修改 OAuth 2.0 显示名称和显示图标，修改后系统将按照修改的内容显示 OAuth 2.0 的信息。

• 允许开启首次登录时创建通义灵码灵码账号：

  • 默认不勾选：仅允许 OAuth 2.0 账号与通义灵码灵码账号绑定，无法匹配时不会创建新账号。

  • 勾选后：允许在 OAuth 2.0 账号无法匹配到通义灵码灵码账号时，创建新账号并绑定。

如果选择不开启单点登录，也可保存配置，后续可在 Oauth 2.0 集成详情页面中开启服务。

完成所有配置后，单击保存配置按钮即可完成 OAuth 2.0 集成的配置。

通过 OAuth 2.0 登录通义灵码灵码

开启单点登录后，通义灵码灵码登录页面将显示 OAuth 2.0 登录入口。点击该入口，已绑定 OAuth 2.0 账号的用户可以通过该账号登录。

退出登录

如果勾选了登出态同步（SLO），用户在通义灵码灵码退出登录时，会同时退出 OAuth 2.0 IdP 的登录状态。

会话持续时间和时长

会话持续时间以通义灵码灵码设置的为准，若超过设置的登录保持时间，会退出通义灵码灵码，如需继续使用通义灵码灵码需要重新登录。

修改 OAuth 2.0 配置

在 OAuth 2.0 集成详情页，有查看/修改配置入口，单击后在抽屉中修改非必填的用户属性映 射信息，其他配置信息不允许修改。

关闭单点登录服务

在 OAuth 2.0 集成详情页，已经开启单点登录时，单击修改服务配置，在打开的抽屉中关闭单点登录服务，关闭后：

• 云效账号与 OAuth 2.0 账号的绑定关系不会解除；

• 无法通过 OAuth 2.0 账号登录通义灵码灵码，需使用通义灵码灵码的登录账号和密码。

移除 OAuth 2.0 集成

在 Oauth 2.0 集成详情页，单击移除集成按钮并确认，即可移除 Oauth 2.0 集成。移除后：

• 解除通义灵码灵码账号和 OAuth 2.0 账号的绑定关系。

• 不支持通过 OAuth 2.0 登录通义灵码灵码，如有需求用户可使用通义灵码灵码账号和密码登录。