OIDC SSO基本流程
更新时间:2026-03-25 15:16:49
OIDC(Open ID Connect)是建立在OAuth2.0基础上的一个认证协议,CDNetworks支持基于OIDC的用户SSO。
基本概念
| 概念 | 说明 |
|---|---|
| OIDC | OIDC,是Open ID Connect的缩写,是建立在 OAuth 2.0基础上的一个认证协议。OAuth 是授权协议,而 OIDC 在 OAuth 协议上构建了一层身份层,除了 OAuth 提供的授权能力,它还允许客户端能够验证终端用户的身份,以及通过 OIDC 协议的 API(HTTP RESTful 形式)获取用户的基本信息。 |
| OIDC 令牌 | OIDC可以给应用签发代表登录用户的身份令牌,即OIDC令牌(OIDC Token)。OIDC令牌用于获取登录用户的基本信息。 |
| 应用程序(客户端)ID | 您的应用在外部IdP注册的时候,会生成一个客户端 ID(Client ID)。当您从外部IdP申请签发OIDC 令牌时必须使用该客户端ID,签发出来的OIDC令牌也会通过 aud 字段携带该客户端ID。在创建 OIDC 身份提供商时配置该客户端ID,然后在使用OIDC令牌换取STS Token时,会校验OIDC 令牌中aud字段所携带的客户端ID与OIDC身份提供商中配置的客户端ID是否一致。只有一致时,才允许登录。 |
| 身份提供商URL | OIDC身份提供商标识。用于获取OIDC元数据的地址,一般后缀为/.well-known/openid-configuration。 |
| 映射字段 | OpenID Connect 身份提供商中与CDNetworks控制台用户名映射的字段。 |
| 签名公钥 | 验证 OpenID Connect 身份提供商 ID Token 签名的公钥。 |
基本流程
1.在外部IdP中注册应用,获取应用的客户端ID(Client ID)。
2.在控制台访问控制中创建OIDC身份提供商,配置CDNetworks与外部IDP的信任关系。
3.在外部IdP中签发OIDC令牌。
4.使用OIDC令牌获取临时密钥。
5.使用临时令牌访问CDNetworks控制台。
本篇文档内容对您是否有帮助?
有帮助
我要反馈