身份提供商概述
更新时间:2026-03-25 15:13:48
使用场景
支持SAML和 OIDC协议的单点登录,如果您的企业组织已有自己的账号体系,同时希望管理组织内成员使用控制台,则您可以使用身份提供商(Identity Provider, IdP)功能,而不必在您的账户下为每一个组织成员创建子用户。使用身份提供商,您可以使用组织内部账号单点登录到控制台。
SSO基本概念
| 概念 | 说明 |
|---|---|
| 身份提供商(IdP) | 存储用户身份信息,包括用户名、密码等,在用户登录时负责认证用户的服务。在企业和CDNetworks进行联合身份登录时,身份提供商即指企业自身的身份提供商。 |
| 服务提供商(SP) | 利用IdP的身份管理功能,为用户提供具体服务的应用,SP会使用IdP提供的用户信息。在企业和CDNetworks联合身份登录时,服务提供商即指CDNetworks。 |
| 安全断言标记语言(SAML2.0) | 实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级SSO的一种事实标准。 |
| SAML断言(SAML Assertion) | SAML协议中用来描述认证请求和认证响应的核心元素,用户的具体属性就包含在认证响应的断言里。 |
| OIDC | OIDC,是Open ID Connect的缩写,是建立在 OAuth 2.0基础上的一个认证协议。OAuth 是授权协议,而 OIDC 在 OAuth 协议上构建了一层身份层,除了 OAuth 提供的授权能力,它还允许客户端能够验证终端用户的身份,以及通过 OIDC 协议的 API(HTTP RESTful 形式)获取用户的基本信息。 |
| OIDC 令牌 | OIDC可以给应用签发代表登录用户的身份令牌,即OIDC令牌(OIDC Token)。OIDC令牌用于获取登录用户的基本信息。 |
| 客户端ID | 您的应用在外部IdP注册的时候,会生成一个客户端 ID(Client ID)。当您从外部IdP申请签发OIDC 令牌时必须使用该客户端ID,签发出来的OIDC令牌也会通过 aud 字段携带该客户端ID。在创建 OIDC 身份提供商时配置该客户端ID,然后在使用OIDC令牌换取STS Token时,会校验OIDC 令牌中aud字段所携带的客户端ID与OIDC身份提供商中配置的客户端ID是否一致。只有一致时,才允许登录。 |
| 身份提供商URL | OIDC身份提供商标识。用于获取OIDC元数据的地址,一般后缀为/.well-known/openid-configuration。 |
| 映射字段 | OpenID Connect 身份提供商中与CDNetworks控制台用户名映射的字段。 |
| 签名公钥 | 验证 OpenID Connect 身份提供商 ID Token 签名的公钥。 |
SSO方式
提供两种SSO方式:用户SSO和角色SSO。两种方式的使用场景没有什么大的区别,主要区别在于:
1.支持情况
| SSO方式 | SP发起的SSO | IDP发起的SSO | 多个IDP | 认证协议 |
|---|---|---|---|---|
| 用户SSO | 暂时不支持(敬请期待) | 支持 | 不支持 | SAML和OIDC |
| 角色SSO | 不支持 | 支持 | 支持 | SAML |
2.SAML响应内容格式不一样
角色SSO支持在SAML断言的AttributeStatement元素识别登录账号信息,而用户SSO是通过NameID元素识别。
- 如下为角色SSO的AttributeStatement元素:
<saml2:AttributeStatement>
<saml2:Attribute Name="https://login.cdnetworks.com/SAML/Attributes/LoginName" >
<saml2:AttributeValue>wsc:iam::${parentLoginName}:login-name/${loginName},wsc:iam::${parentLoginName}:saml-provider/${provider}</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="https://login.cdnetworks.com/SAML/Attributes/RoleSessionName">
<saml2:AttributeValue>${NameID}</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
更多响应信息见:角色SSO的SAML响应
- 如下为用户SSO的NameID元素:
<saml2:Subject>
<saml2:NameID>${NameID}</saml2:NameID>
<saml2:SubjectConfirmation>
...
</saml2:SubjectConfirmation>
</saml2:Subject>
更多响应信息见:用户SSO的SAML响应
本篇文档内容对您是否有帮助?
有帮助
我要反馈