辦公安全平臺通過采用OpenID Connect (OIDC)協議，作為與阿里云IDaaS解決方案之間的橋梁，實現了單點登錄（SSO）功能的互聯互通。只要企業現有的SSO服務支持OIDC標準，就能夠將辦公安全平臺的賬號體系作為身份提供商（IdP），無縫集成到其SSO框架。

場景示例

當前某企業使用IDaaS進行員工身份和應用權限管理，且使用IDaaS完成了內部應用的SSO接入。同時企業接入了SASE服務，保障遠程辦公接入和辦公敏感數據的安全。此時可使用SASE的SSO功能，通過OIDC協議與IDaaS服務打通。以實現企業員工登錄SASE App后，能夠直接在IDaaS的應用門戶使用SASE App身份直接登錄內網應用。

前提條件

• 已購買SASE服務。具體操作，請參見購買服務。

• 已登錄SASE App。具體操作，請參見安裝并登錄SASE App。

• 已開通IDaaS服務并創建EIAM云身份服務新版實例。具體操作，請參見免費開通實例。

• 已在IDaaS服務集成企業所需的業務應用。具體操作，請參見應用開通說明。

操作流程

步驟一：獲取IDaaS授權回調地址

1. 登錄IDaaS管理控制臺。

2. 在EIAM云身份服務頁面，單擊已創建的實例名稱。跳轉到該實例的云身份服務控制臺。

3. 在左側導航欄，單擊身份提供方。

4. 在身份提供方頁面，單擊其他身份提供方。

5. 在新增身份提供方面板，單擊OIDC身份提供方。

6. 在綁定OIDC身份提供方面板，復制IDaaS授權回調Redirect URI。

   

   建議您不要關閉該頁面，步驟三也需要在該頁面完成配置。

步驟二：配置SASE SSO策略

1. 登錄辦公安全平臺控制臺。

2. 在左側導航欄，選擇身份認證管理 > 單點登錄。

3. 在單點登錄頁面，單擊添加策略。

4. 在添加策略面板，根據下表配置策略信息。

   配置項	說明	示例值
   策略名稱	策略的名稱。	SASE_SSO_test
   策略狀態	策略的啟用狀態	置為啟用狀態
   接口訪問授權	設置client_id、client_secret。使用單點登錄前需啟用接口訪問，您需要使用client_id、client_secret進行接口授權。 重要 請保管好client_secret，一旦懷疑泄露，請刪除舊密鑰并添加新密鑰進行輪轉。	client_id：sase_sso client_secret：1kr6ld066******
   登錄Redirect URL	填寫企業內網應用的URL的redirect_uri參數，目的是將該值加白，方便SASE在認證完成后發起登錄請求。 該值即步驟一獲取的授權回調Redirect URI。	https://l6v271cn.aliyunidaas.com/login/********

5. 單擊確定。

步驟三：為IDaaS實例綁定SASE身份源

1. 在綁定OIDC身份提供方面板，參考下表設置綁定信息。

   如果您已經關閉了IDaaS的頁面，請參考步驟一的界面入口進入綁定OIDC身份提供方面板。

   關于IDaaS產品綁定OIDC身份提供方字段的詳細信息，請參見綁定OIDC身份提供方。

   配置項		示例值
   登錄信息	顯示名稱	SASE
   登錄配置	認證模式	client_secret_post
   	Client ID	sase_sso
   	Client Secret	client_secret：1kr6ld066******
   	Scopes	openid,external_id
   端點配置	Issuser	填寫Issuser值后，可以通過解析發現端點，自動獲取端點信息。
   	授權端點
   	令牌端點
   	公鑰端點
   	用戶信息端點

2. 單擊下一步選擇場景。

   為了方便本次驗證，場景選擇默認配置。如果需要了解場景的具體說明，請參見選擇場景。

3. 單擊完成創建。

步驟四：使用SASE SSO訪問IDaaS集成的應用

1. 在EIAM云身份服務頁面，定位到指定的IDaaS實例，單擊用戶門戶地址。

   

2. 在用戶門戶登錄頁，您可以看到其他登錄方式下出現SASE身份源。

   

3. 單擊SASE身份源，登錄IDaaS門戶。

4. 在我的應用頁面，即可訪問當前集成在IDaaS的業務應用，無需您再次輸入賬戶名和密碼。