基于"企业AD域身份提供者"的联合认证
在某些企业场景中,由于安全性或网络隔离等原因,外部身份提供方(IdP)与内部Active Directory(AD)之间的直接集成通常不可行。为了解决这个问题,可以采用基于Restful API的身份验证委托方式。
提示
注:“SiX统一认证/授权”IDP连接了该企业的AD,企业用户在登录ERP之前点击"Login with "SiX INNO" AD account"按钮触发用户通过AD登录。
提示
联合后, 您的IdP用户将可以额外获得MFA, 个人身份数据分享管控等功能, 更多: 数据安全 & 隐私概览
TIP
在此上下文中,身份验证联合是指身份验证委托。当“SiX统一认证/授权”租户中的身份提供方(IdP)接收到身份验证请求后,会将该请求委托给企业内部的 AD 进行验证。
将IdP与 "企业AD域身份提供者" 联合的步骤
1. 创建“SiX统一认证/授权”身份应用(IdP)租户
在“SiX统一认证/授权”控制台中,进入"认证管理 -> 创建身份应用",新建一个身份应用(IdP)租户,并将"认证源定义:"设置为"外部认证源(http/https接口交互)"。
2. 配置Restful联合身份提供商参数
设置Restful联合身份提供商的参数, 将Restful端点指向请求中继端点:
警告
创建 IdP 时,系统将生成一次RSA 256私钥供IdP所有者下载。此后“SiX统一认证/授权”与Restful中继端点之间的认证数据流都将通过公钥进行加密传输。
3. 创建OAuth2授权客户端租户并关联至IdP租户
在“SiX统一认证/授权”控制台中创建"OAuth2授权客户端"租户,并将其与"身份应用(IdP)租户"关联。
4. 在您的应用中集成OIDC/OAuth2授权客户端
将OAuth2授权客户端的配置信息(如 "授权客户端ID", "授权客户端密钥")集成到您的应用程序中,以启用认证流程。
当用户触发认证时,“SiX统一认证/授权”会自动处理联合认证流程。
5. 获取联合用户身份信息并与本地用户体系关联
您的应用可以通过解析JWT令牌获取 openId 及联合Restful认证提供商返回的用户标识, 或者调用/userinfo接口获取信息, 最终,您可以将这些信息与"本地用户ID"进行关联,实现身份管理。
6. 使用“SiX统一认证/授权”示例代码/SDK快速实现和企业AD相连
“SiX统一认证/授权”提供了示例代码/SDK供IdP所有者快速和企业AD相连, 基于LDAPS交互。