配置 OIDC 应用程序的常规设置

在线编辑

配置 OpenID Connect提供商设置,这些设置适用于此租户中的 OpenID Connect应用程序。

过程

  1. 选择 “应用程序 ” > “应用程序设置 ” > “OIDC 常规设置”
  2. 请向 Verify 提供有关常规设置的基本信息。
    字段 描述
    签发者主机名 JWT 签发者的主机名。 这一定是租户主机名或其中一个自定义主机名。 完整的发行方字符串是 https://{issuerHostname}/oidc/endpoint/default.
    MTLS 端点的基本 URL MTLS 端点的基地址 URL 必须包含类似于 https 的协议方案。
    ID 令牌有效期 ID 令牌的有效期(以秒为单位)。 最大值为 2147483647,最小值为 1。
    刷新令牌容错选项 使用刷新令牌后执行的操作。 该属性有两个选项。
    刷新令牌的容错有效期
    Refresh token fault tolerance lifetimeRefresh token fault tolerance lifetime如果已使用的刷新令牌的剩余有效期大于 值,则将其缩短至 值。
    撤销
    已使用的刷新令牌将立即被撤销。 剩余的剩余寿命将被忽略。
    请勿旋转
    刷新过程中不会生成新的刷新令牌。 响应中返回的是相同的刷新令牌,且其有效期与原始令牌相同。
    刷新令牌的容错有效期 刷新令牌在使用后仍保持有效的时长(以秒为单位)。 如果客户端在令牌刷新过程中未收到新令牌,则可再次使用该刷新令牌。 如果刷新令牌的剩余有效期更短,则不会使用此值。 最大值为 2147483647,最小值为 1。
    JWT 验证时间偏差 在验证任何传入的 JWT 中的 iatnbfexp 时所使用的偏移量(以秒为单位)。
    iat
    该令牌的创建时间。
    nbf
    在开始时间之前,该代币无法使用。
    exp
    JWT 的过期时间。
    例如,用于客户端身份验证的私钥 JWT、请求对象以及 JWT 承载令牌。
    设备流量轮询间隔 设备流轮询间隔(单位:秒)。 最大3600,最小2。
    设备流代码的生命周期 设备流中设备代码和用户代码的生存时间(以秒为单位)。 最大值 1800 ,最小值1。
    客户端密钥长度 自动生成的客户端密钥的长度。 最多25人,最少8人。
    旋转密钥的有效期 默认的客户端密钥轮换有效期(以天为单位)。 最大值 90,最小值 0。
    在设备身份验证端点上强制执行客户端身份验证 当触发 OAuth 设备的授权授予流程时,强制执行客户端身份验证的设置。
    用于签名的缺省密钥 默认的 JWT 签名密钥。
    用于加密的缺省密钥 默认的 JWT 加密密钥。
    在 JWKS 输出中排除“x5c” JWKS 中用于排除“ x5c ”的设置。
    在 JWKS 输出中排除“x5t”和“x5t#S256” JWKS 中用于排除 ' x5t ' 和 ' x5t#S256 ' 的设置。
    允许使用访问令牌兑换 SSO 会话 为单点登录(SSO)会话交换访问令牌。

    允许:访问令牌可用于兑换 SSO 会话。

    授予和撤销令牌:访问令牌可用于建立单点登录(SSO)会话,但该令牌会被撤销。

    拒绝:无法将访问令牌兑换为 SSO 会话。
    为 OpenID 提供程序元数据添加其他属性 
    
{
    "additionalMetadata": "some value"
}
    令牌交换 在身份令牌的官方过期时间之前或之后添加的、以秒为单位的短时间段。 它考虑了系统之间可能存在的时钟偏移或网络延迟。 此时间窗口有助于防止因令牌签发方与验证方之间存在微小的时间差,而导致有效的令牌被错误地拒绝。
    映射声明的作用域 关联项 OAuth 或 OpenID 将范围与特定的用户信息字段(称为声明)相关联。 当客户端请求特定权限范围时,授权服务器会利用此映射关系来确定应在签发的令牌或用户信息响应中包含哪些声明。
    发行者 JWKS URI 依赖方发布其公钥(以 JSON Web Keys( JWK )格式)的 URI。 此 URI 用于 JWT 签名的验证。
  3. 为 Verify 提供通用令牌交换设置。
    字段 描述
    ID 令牌过期容忍窗口 ID 令牌在过期后仍可用于令牌交换的时间(以秒为单位)。 如果未设置,则不会检查 ID 令牌的过期情况。 最大值为86400,最小值为5。
  4. 点击 “保存更改 ”。