使用阿里云的IDaaS实现知行之桥EDI系统的单点登录

本文主要为大家介绍以使用阿里云 IDaaS为例，在知行之桥EDI系统上绑定单点登录（SSO）。

知行之桥支持 OIDC 协议，所以任何支持该协议的认证服务都是可以的，配置也类似。

发布于 2014 年的OIDC（OpenID Connect）协议在现代身份体系中具备最佳的配置集成体验和表现，其在 OAuth 2.0 授权协议基础上叠加了基于 JWT 格式的 id_token，兼容认证和授权场景。

1.开启 阿里云应用身份服务( IDaaS)

应用身份服务IDaaS是阿里云原生企业身份管理服务，旗下EIAM（Enterprise IAM）用于保护企业内部身份、CIAM（Customer IAM）提供面向外部会员的身份管理、安全认证集成了多种无密码认证方式，加强登录安全。

2.创建 IDaaS实例

接下来需要创建一个IDaaS示例，并为其添加实例描述。注意：每个账号只能创建3个IDaaS实例。如下所示，点击创建。

3.接入自研应用

在实现应用单点登录中，选择接入自研应用，自研应用接入需要通过 OIDC 授权码模式。

如果计划接入自研应用，需要升级至企业版。以30个用户为例，每个月240元。收费模式如下所示：

成功升级企业版之后，即可在 云身份服务/应用/添加应用 这个路径下，添加自研应用。

这里可以将应用名称设置为 知行EDI。

4.配置知行之桥EDI系统单点登录

4.1在阿里云平台中保存Audience URIs, client_id以及client_secret

4.2在知行之桥EDI系统中，配置Audience URIs, client_id以及client_secret。

点击界面右上角的 齿轮 图标，选择 单点登录 设置页，配置令牌接收者、登录用户的ID字段、OAuth 客户端ID以及OAuth 客户密钥。这里登录用户的ID字段根据实际情况进行配置，例如：phonenumber。

4.3填写callback

在IDaaS实例中需要在登录访问页面，给我们创建的 知行EDI 应用填写callback。即配置登录 Redirect URL。（Redirect URL白名单，应用在请求登录时携带redirect_url 参数，该值需要在白名单中，IDaaS才会在认证完成后发起跳转。）

填写其它信息

根据上述步骤添加自研应用之后，可在应用配置信息中查看如下细节信息：

根据上述内容在知行之桥EDI系统中需要填写如下信息：

或在令牌颁发者证书>点击右侧的 导入设置 按钮，直接导入OpenID发现文档路径，如下所示：

5.配置用户信息，并完成测试。

完成以上信息的配置后，在开始测试之前，需要确定用哪个信息作为“登陆用户的ID字段”。

这个字段用来在完成SSO登陆之后，用哪个信息将阿里云IDaaS的用户和知行之桥EDI系统的用户做对应。这里我们使用了 phonenumber 这个自定义属性。需要在阿里云做如下配置：

在登录访问>单点登录路径中，填写扩展 id_token。

完成之后，就可以在知行之桥EDI系统的用户界面添加相应的用户了。

首先，在阿里云IDaaS上添加用户：

请记住这里配置的手机号，后续需要将其配置在知行之桥EDI系统中。

然后是在知行之桥EDI系统中创建相应用户。点击右上角的 齿轮 图标，进入 用户 页，点击 添加 即可创建用户。

企业可以选择添加一个普通用户的角色，联合ID中填写上一步在阿里云IDaaS上添加用户的手机号即可。

注意，这里的 联合 ID，就是对应账户在阿里云IDaaS中的值。

6.测试和整理效果

以下是效果展示的GIF图