业务系统基础配置
1 介绍
业务系统基础配置中可为业务系统配置描述、重定向地址、登录流程、访问令牌类型等详细的配置,以满足不同的业务需求和安全要求。不同业务系统类型的配置项有所不同。
2 配置
1、用户可以通过点击业务系统列表中的"业务系统ID"对选定业务系统进行配置。当点击其中一个"业务系统ID"后会跳转至配置页面。
2、进入配置页面后,首先进入的是"详情"页面,其中包括:通用设置、访问设置、功能配置、登录设置、退出设置。 3、通用设置:业务系统ID(不可编辑):业务系统的标识。
描述:业务系统的描述。
访问令牌类型:业务系统使用的访问令牌类型。
JWT令牌:JWT不可撤回。JWT令牌是一个自包含的访问令牌 ,它是一个带有声明和过期的受保护数据结构。一旦API了解了密钥信息,它就可以验证自包含的令牌,而无需与身份认证系统(飞网IAM)进行通信。这使得JWT难以撤销。它将一直有效,直到它过期。
引用令牌:Reference Token携带用户信息,可撤回。当使用 Reference token 的时候,身份认证系统(飞网IAM)会对 Token 进行持久化,只会将此令牌的唯一标识符发回给业务系统,当业务系统请求资源端(API)的时候,资源端每次都需要去与身份认证系统(飞网IAM)通信去验证 Token 的合法性。
重定向地址:用户成功登录后,浏览器可重定向到的有效地址。重定向地址可以填入多个,地址之间使用 ; 分隔。如果地址不正确,用户无法正常登录。
退出后的重定向地址:当用户成功登出后的重定向地址。重定向地址可以填入多个,地址之间使用 ; 分隔。如果地址不正确,用户无法正常登出。
定向 URL 是否区分大小写:重定向地址是否区分大小写。
是否需要手动操作来注销会话:勾选后,用户登出业务系统时会跳转到"飞网IAM",用户需要在"飞网IAM"手动注销会话。
5、功能配置:根据具体需求设置业务系统用来请求资源或进行身份认证的方式(支持多选)。
授权码(Authorization code):授权码是OAuth 2.0中一种常用的授权方式,用于获取访问令牌(access token)。
业务系统发起的后端通道认证(CIBA): CIBA是一种OAuth 2.0的认证流程,业务系统代表用户发起身份认证过程。它是为用户可能没有浏览器或无法主动参与身份认证过程的场景而设计的。
用户管理访问(UMA): UMA是一种OAuth 2.0的扩展,允许资源拥有者(用户)控制其他用户或第三方应用对其资源(如照片、文件等)的访问。
刷新令牌(Refresh token):刷新令牌是用于获取新的访问令牌的凭证,通常用于避免当访问令牌过期导致用户需要重新登录的问题。
业务系统凭证(Client credentials):业务系统凭证是OAuth 2.0中的一种授权方式,用于进行服务器对服务器间的授权(M2M 授权),期间没有用户参与。
是否需要手动授权:勾选后,当用户第一次登录业务系统时,会询问用户是否同意将信息授权给业务系统,只有用户同意之后才可以成功登录。
默认登录流程:配置当用户登录该业务系统时使用的登录方式,默认使用"用户名/密码"的方式。这里会列出在身份认证流程中创建的所有认证流程的名称,如果认证流程绑定了用户注册流程,则该业务系统也会使用该注册流程。
7、退出设置:
是否使用前端通道注销会话:勾选后,则表示使用前端通道注销会话。
前端通道注销 URL:当勾选上方配置后,则需要配置该注销地址,该地址是业务系统自身用于退出的接口地址。
是否使用后端通道注销会话:勾选后,则表示使用后端通道注销会话。
后端通道注销URL:当勾选上方配置后,则需要配置该注销地址,该地址是业务系统自身用于退出的接口地址。
区别:
前端通道注销是指用户在业务系统(浏览器等)操作界面上点击“登出”按钮,触发业务系统脚本进行的操作。
后端通道注销是指"飞网IAM("身份认证服务器)收到来自业务系统的登出请求、主动检测到用户会话过期或手动结束用户会话后,执行相应的操作。