在百度中配置应用程序

若要将百度用作身份提供商 ,您必须在百度上配置您的应用程序。

准备工作

请按照 “添加社交身份提供商 ”中的步骤操作。 您必须在百度开发者 Web 站点中有帐户。

关于此任务

注: 部分中国服务商不提供电子邮件ID属性。 他们也不需要用于帐户注册和登记的电子邮件标识。

因此,这样的提供者不必返回电子邮件地址作为概要文件数据元素,因为这会影响这些提供者的 2FA。

添加百度或百度移动身份提供商

您可以将百度™配置为使用网页流程、移动流程或两者兼用,但必须至少配置其中一种流程。

准备工作

在百度上配置您的应用程序。 请参阅 《在百度上配置您的应用》。 向社交身份提供者提供有关应用程序的特定数据。 注册应用程序后,复制社交身份提供者指定的信息。 必须向 Verify 提供信息。
注: 部分中国服务商不提供电子邮件ID属性。 他们也不需要用于帐户注册和登记的电子邮件标识。

因此,这样的提供者不必返回电子邮件地址作为概要文件数据元素,因为这会影响这些提供者的 2FA。

过程

  1. 请登录百度开发者网站: https://developers.baidu.com/
  2. 选择 “身份验证 ”> “身份提供商 ”。 选择添加身份提供者
  3. 从社交身份提供商列表中选择 “百度”, 然后点击 “下一步”
  4. 指定基本信息。
    表 1. 基本信息
    信息 描述
    名称

    您为代表身份提供商 (例如 Microsoft™ Active Directory、 Microsoft Azure、 Active Directory 等)所使用的用户注册表指定的名称。

    如果配置并启用了多个身份提供者,那么身份提供者名称将显示在 Verify 登录页面中。

    当您选择身份提供商时,此信息也会显示在 “目录 > 用户和组 > 用户 ”选项卡以及 “添加用户 ”对话框中。

    这是一个身份提供商属性,用于区分来自多个身份提供商且用户名相同的用户。

    www.baidu.com对于百度而言,该域名的价值为。

    已启用

    指示身份提供程序是否处于活动状态且可供使用。

    如果设置为 “关闭 ”,则该身份提供商不会被配置为登录选项。 用户无法使用已配置的身份提供商登录目标应用程序。

    如果将其启用,将部分启用。 此设置不会对所有应用程序自动启用此源。 您必须对各个应用程序选择此源。

    标识 当您选择 “保存 ”时,系统会为身份提供商生成一个 ID。
  5. 单击“设置”并添加重定向 URL。
    百度的 URL 是 https://<tenant_name>/idaas/mtfim/sps/idaas/login/baidu/callback.
    例如, https://<tenant_name>.verify.ibm.com/idaas/mtfim/sps/idaas/login/baidu/callback
  6. 点击 “下一步 ”继续,或点击“上一步 ”更改配置
  7. 向身份提供者。 请访问 WeChat 网站,注册单点登录服务,并开始配置您的应用程序。 您必须向百度提供有关您应用程序的信息,并提供您租户中指定的授权回调域名。
  8. 点击 “下一步 ”继续,或点击“上一步 ”更改配置
  9. 来自身份提供商。 选择配置类型。
    您可以选择一种或两种配置。
    注意: 每个流程都需要单独注册。
    • Web 配置
      1. 将开关拨至 “开” 的位置,以启用百度网页配置。
      2. 请在相应字段中填写注册时收到的 AppIDAppSecret
    • 移动配置
      1. 将开关切换至 “开” 以启用百度移动配置。
      2. 提供由 Verify. 接收的社交 JWT 的签发者。 您指定的发出者必须与接收到的发出者相匹配才能进行验证。
      3. 从菜单中选择用于验证社交 JWT 的验证证书
      4. 配置百度移动应用接收的令牌。
        访问令牌到期时间(秒)
        这用于设置访问令牌到期之前的时间长度(以秒计)。

        设置访问令牌到期时间,以限制攻击者在客户机应用程序受到损害时可以使用被盗令牌访问资源的时间。

        只允许使用正整数。

        缺省值为 7200 秒。 允许的最小值为 1 秒,最大值为 2147483647 秒。

        访问令牌格式
        指示访问令牌是否以不透明字符串的形式生成,即Default设置中,或在JWT( JSON Web Token ) 格式。
        生成刷新令牌
        指示客户端应用程序是否可以请求并使用刷新令牌 ,从 OpenID Connect身份提供商的授权服务器获取新的访问令牌

        仅当应用程序计划使用访问令牌通过 Verify API 执行操作时,才应使用此选项。

        仅当前一个访问令牌到期时,才需要获取新的访问令牌。

        刷新令牌生命周期
        该参数用于设置令牌过期后,用户可以重新进行身份验证的间隔时间。

        将刷新令牌的过期时间设置为:在 Verify 经过一段时间后,要求用户重新执行完整的单点登录操作。 到期时间基于总耗用时间并且包含空闲时间。

        此选项显示但是被禁用,除非启用了生成刷新令牌

        刷新令牌用于获取新的访问令牌以继续访问受保护资源。

        只允许使用正整数。

        缺省值为 7200 秒。 最小值必须等于或大于访问令牌到期时间值并且最大值为 2147483647 秒。

      5. 映射要包含在自省端点和 JWT 访问令牌有效内容中的属性。
        属性名称
        Verify依赖方使用的属性名称,以及其要求从.获取的属性名称。
        源属性

        列出了您在 “配置 > 属性 ”中为每种类型定义的所有属性来源。

        所选属性源的值指定为标识令牌中定义的信赖方属性名称的属性值。

      6. 选择配置 API 访问权以指定授予访问令牌的 API 访问权。 您可以选择特定 API 访问权,或者将全选开关设置为开启来选择所有访问权。
  10. 可选: 添加或移除作用域,以控制应用程序的使用方式。
    请务必在添加的每个作用域后按 Enter 键。
  11. 点击 “下一步 ”继续,或点击“上一步 ”更改配置。
  12. 要启用身份关联,请将开关拨至 “开 ”的位置,并提供以下信息。
    唯一用户标识
    充当已链接帐户的标识的用户属性。
    即时供应
    如果在主身份源中未找到用户帐户,请将开关切换至以在主域中创建影子帐户。
    外部标识
    用于在百度用户库中唯一标识用户的标识符。
  13. 选择 “保存 ”。