添加微信或微信移动应用身份提供者
您可以将 WeChat™ 配置为使用Web流程、移动流程或两者兼用,但必须至少配置其中一种流程。
准备工作
过程
- 选择 “身份验证 ”> “身份提供商 ”。 选择添加身份提供者。
- 从社交身份提供商列表中选择“ WeChat ”,然后点击 “下一步 ”。
- 指定基本信息。
表 1. 基本信息 信息 描述 名称 您为代表身份提供商 (例如 Microsoft™ Active Directory、 Microsoft Azure、 Active Directory 或其他服务)所使用的用户注册表指定的名称。
如果配置并启用了多个身份提供者,那么身份提供者名称将显示在 Verify 登录页面中。
当您选择身份提供商时,此信息也会显示在 “目录 > 用户和组 > 用户 ”选项卡以及 “添加用户 ”对话框中。
域 这是一个身份提供商属性,用于区分来自多个身份提供商且用户名相同的用户。
对于微信,域值为
www.wechat.com。已启用 指示身份提供程序是否处于活动状态且可供使用。
如果设置为 “关闭 ”,则该身份提供商不会被配置为登录选项。 用户无法使用已配置的身份提供商登录目标应用程序。
如果将其启用,将部分启用。 此设置不会对所有应用程序自动启用此源。 您必须对各个应用程序选择此源。
标识 当您选择 “保存 ”时,系统会为身份提供商生成一个 ID。 - 点击 “下一步 ”继续,或点击“上一步 ”更改配置
- 向身份提供者。 请访问 WeChat 网站,注册单点登录服务,并开始配置您的应用程序。 您必须向 WeChat 提供有关您应用程序的信息,并提供您租户中指定的授权回调域名。
- 点击 “下一步 ”继续,或点击“上一步 ”更改配置
- 来自身份提供商。 选择配置类型。您可以选择一种或两种配置。注意: 每个流程都需要单独注册。
- Web 配置
- 将开关拨至 “开” 的位置,以启用 WeChat 的Web配置。
- 请在相应字段中填写注册时收到的 AppID 和 AppSecret。
- 移动配置
- 将开关切换到开以启用微信移动配置。
- 提供由 Verify. 接收的社交 JWT 的签发者。 您指定的发出者必须与接收到的发出者相匹配才能进行验证。
- 从菜单中选择用于验证社交 JWT 的验证证书。
- 配置 WeChat 移动应用程序接收的令牌。
- 访问令牌到期时间(秒)
- 这用于设置访问令牌到期之前的时间长度(以秒计)。
设置访问令牌到期时间,以限制攻击者在客户机应用程序受到损害时可以使用被盗令牌访问资源的时间。
只允许使用正整数。
缺省值为 7200 秒。 允许的最小值为 1 秒,最大值为 2147483647 秒。
- 访问令牌格式
- 指示访问令牌是否以不透明字符串的形式生成,即Default设置中,或在JWT( JSON Web Token ) 格式。
- 生成刷新令牌
- 指示客户端应用程序是否可以请求并使用刷新令牌 ,从 OpenID Connect身份提供商的授权服务器获取新的访问令牌。
仅当应用程序计划使用访问令牌通过 Verify API 执行操作时,才应使用此选项。
仅当前一个访问令牌到期时,才需要获取新的访问令牌。
- 刷新令牌生命周期
- 这用于设置刷新令牌到期之前的时间长度(以秒计)。
将刷新令牌的过期时间设置为:在 Verify 经过一段时间后,要求用户重新执行完整的单点登录操作。 到期时间基于总耗用时间并且包含空闲时间。
此选项显示但是被禁用,除非启用了生成刷新令牌。
刷新令牌用于获取新的访问令牌以继续访问受保护资源。
只允许使用正整数。
缺省值为 7200 秒。 最小值必须等于或大于访问令牌到期时间值并且最大值为 2147483647 秒。
- 映射要包含在自省端点和 JWT 访问令牌有效内容中的属性。
- 属性名称
- Verify依赖方使用并要求从...获取的属性名称。
- 源属性
列出了您在 “配置 > 属性 ”中为每种类型定义的所有属性来源。
所选属性源的值指定为标识令牌中定义的信赖方属性名称的属性值。
- 选择配置 API 访问权以指定授予访问令牌的 API 访问权。 您可以选择特定 API 访问权,或者将全选开关设置为开启来选择所有访问权。
- Web 配置
- 可选: 添加或移除作用域,以控制应用程序的使用方式。请务必在添加的每个作用域后按 Enter 键。
- 点击 “下一步 ”继续,或点击“上一步 ”更改配置。
- 要启用身份关联,请将开关拨至 “开 ”的位置,并提供以下信息。
- 唯一用户标识
- 充当已链接帐户的标识的用户属性。
- 即时供应
- 如果在主身份源中未找到用户帐户,请将开关切换至开以在主域中创建影子帐户。
- 外部标识
- 用于唯一标识微信用户存储库中用户的标识。
- 选择 “保存 ”。