产品简介

CAM 概述

产品功能

应用场景

基本概念

使用限制

用户类型

购买指南

快速入门

创建管理员用户

创建子账号并授权

子账号登录控制台

用户指南

概览

用户

访问密钥

用户组

角色

身份提供商

策略

权限边界

排除故障

下载安全分析报告

支持角色的业务

概览

计算

容器

微服务

基础存储服务

数据处理与分析

数据迁移

关系型数据库

企业级分布式数据库

NoSQL 数据库

数据库 SaaS 工具

数据库 SaaS 服务

网络

CDN与加速

网络安全

数据安全

应用安全

域名与网站

大数据

中间件

互动视频服务

实时互动

媒体点播

媒体处理服务

媒体处理

实时云渲染

游戏服务

云资源管理

管理与审计

开发者工具

监控与运维

其他文档

支持CAM的业务接口

概览

计算

边缘计算

容器

分布式云

微服务

Serverless

基础存储服务

数据处理与分析

数据迁移

关系型数据库

企业级分布式数据库

NoSQL 数据库

数据库 SaaS 工具

网络

CDN与加速

网络安全

终端安全

数据安全

业务安全

应用安全

域名与网站

办公协同

大数据

语音技术

图像创作

腾讯大模型

人工智能平台服务

自然语言处理

文字识别

中间件

通信服务

互动视频服务

实时互动

流媒体服务

媒体点播

媒体处理服务

媒体处理

实时云渲染

游戏服务

教育服务

医疗服务

云资源管理

管理与审计

开发者工具

监控与运维

其他文档

实践教程

安全实践教程

多身份人员权限管理

授予标签下部分操作权限

支持员工间资源隔离访问

企业多账号权限管理

查看员工腾讯云操作记录

使用 ABAC 管理员工资源访问权限

按标签鉴权时支持仅匹配标签键

商用案例

MySQL 相关案例

CLB 相关案例

CMQ 相关案例

COS 相关案例

CVM 相关案例

VPC 相关案例

云点播相关案例

其他案例

API 文档

History

Introduction

API Category

Making API Requests

User APIs

Policy APIs

Role APIs

Identity Provider APIs

Data Types

Error Codes

常见问题

角色相关问题

密钥相关问题

其他问题

CAM 用户与权限问题

词汇表

OIDC 角色 SSO 概览

PDF

聚焦模式

字号

最后更新时间： 2024-01-23 17:46:25

OIDC（OpenID Connect）是建立在 OAuth 2.0基础上的一个认证协议，腾讯云 CAM 支持基于 OIDC 的角色 SSO。
基本概念
概念
说明
OIDC
﻿OIDC（OpenID Connect）是建立在 OAuth 2.0 基础上的一个认证协议。OAuth 是授权协议，而 OIDC 在 OAuth 协议上构建了一层身份层，除了 OAuth 提供的授权能力，它还允许客户端能够验证终端用户的身份，以及通过 OIDC 协议的 API（HTTP RESTful 形式）获取用户的基本信息。
OIDC 令牌（OIDC Token）
OIDC 可以给应用签发代表登录用户的身份令牌，即 OIDC 令牌（OIDC Token）。
OIDC令牌用于获取登录用户的基本信息。
临时身份凭证
﻿STS（Security Token Service）是腾讯云提供的一种临时访问权限管理服务，通过 STS 获取可以自定义时效和访问权限的临时身份凭证（STS Token）。
颁发者 URL
颁发者 URL由外部 IdP 提供，对应 OIDC Token 的 iss 字段值。
颁发者 URL 必须以 https 开头，符合标准 URL 格式，但不允许带有 query 参数（以 ? 标识）、fragment 片段（以 # 标识）和登录信息（以 @ 标识）。
验证指纹
为了防止颁发者URL被恶意劫持或篡改，您需要配置外部IdP的HTTPS CA证书生成的验证指纹。 腾讯云会辅助您自动计算该验证指纹，但是建议您在本地自己计算一次（例如：使用OpenSSL计算指纹），与腾讯云计算的指纹进行对比。如果对比发现不同，则说明该颁发者URL可能已经受到攻击，请您务必再次确认，并填写正确的指纹。
客户端 ID（Client ID）
您的应用在外部 IdP 注册的时候，会生成一个客户端 ID（Client ID）。
当您从外部 IdP 申请签发 OIDC 令牌时必须使用该客户端 ID，签发出来的 OIDC 令牌也会通过 aud 字段携带该客户端 ID。
在创建 OIDC 身份提供商时配置该客户端 ID，然后在使用 OIDC 令牌换取 STS Token 时，腾讯云会校验 OIDC 令牌中 aud 字段所携带的客户端 ID 与 OIDC 身份提供商中配置的客户端 ID 是否一致。只有一致时，才允许扮演角色。
应用场景
当企业应用需要频繁访问腾讯云时，如果使用固定的访问密钥（AccessKey），且安全防护措施不足时，可能会因 AccessKey 泄露而带来安全隐患。为了解决这个问题，有些企业会将应用注册在企业自建或者第三方的具有 OIDC 能力的身份提供商中（例如：Google G Suite 或 Okta 等），以借助 OIDC 身份提供商的能力来为应用生成 OIDC 令牌（OIDC Token）。在这种情况下，借助腾讯云 CAM 提供的角色 SSO 能力，企业应用可以通过持有的 OIDC 令牌换取腾讯云临时身份凭证（STS Token），从而安全地访问腾讯云资源。
此外，有些个人开发者或中小企业允许员工使用其在一些网站（例如：社交网站）上注册的身份来登录腾讯云，如果这些网站支持生成 OIDC 令牌，则可以使用腾讯云 CAM 来完成基于 OIDC 的单点登录。
基本流程
1. 在外部 IdP 中注册应用，获取应用的客户端 ID（Client ID）。
2. 在腾讯云 CAM 中创建 OIDC 身份提供商，配置腾讯云与外部 IdP 的信任关系。具体操作，请参见 创建 OIDC 身份提供商。
3. 在腾讯云 CAM 中创建 OIDC 身份提供商的 CAM 角色，并为 CAM 角色授权。具体操作，请参见 创建 OIDC 身份提供商的 CAM 角色。
4. 在外部 IdP 中签发 OIDC 令牌（OIDC Token）。
5. 使用 OIDC Token 换取 STS Token。具体操作，请参见 AssumeRoleWithWebIdentity。
6. 使用 STS Token 访问腾讯云资源。
配置示例
﻿Azure Active Directory 单点登录腾讯云指南﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

访问管理

OIDC 角色 SSO 概览

基本概念

应用场景

基本流程

配置示例

帮助和支持

概念	说明
OIDC	OIDC（OpenID Connect）是建立在 OAuth 2.0 基础上的一个认证协议。OAuth 是授权协议，而 OIDC 在 OAuth 协议上构建了一层身份层，除了 OAuth 提供的授权能力，它还允许客户端能够验证终端用户的身份，以及通过 OIDC 协议的 API（HTTP RESTful 形式）获取用户的基本信息。
OIDC 令牌（OIDC Token）	OIDC 可以给应用签发代表登录用户的身份令牌，即 OIDC 令牌（OIDC Token）。 OIDC令牌用于获取登录用户的基本信息。
临时身份凭证	STS（Security Token Service）是腾讯云提供的一种临时访问权限管理服务，通过 STS 获取可以自定义时效和访问权限的临时身份凭证（STS Token）。
颁发者 URL	颁发者 URL由外部 IdP 提供，对应 OIDC Token 的 iss 字段值。颁发者 URL 必须以 https 开头，符合标准 URL 格式，但不允许带有 query 参数（以 ? 标识）、fragment 片段（以 # 标识）和登录信息（以 @ 标识）。
验证指纹	为了防止颁发者URL被恶意劫持或篡改，您需要配置外部IdP的HTTPS CA证书生成的验证指纹。腾讯云会辅助您自动计算该验证指纹，但是建议您在本地自己计算一次（例如：使用OpenSSL计算指纹），与腾讯云计算的指纹进行对比。如果对比发现不同，则说明该颁发者URL可能已经受到攻击，请您务必再次确认，并填写正确的指纹。
客户端 ID（Client ID）	您的应用在外部 IdP 注册的时候，会生成一个客户端 ID（Client ID）。当您从外部 IdP 申请签发 OIDC 令牌时必须使用该客户端 ID，签发出来的 OIDC 令牌也会通过 aud 字段携带该客户端 ID。在创建 OIDC 身份提供商时配置该客户端 ID，然后在使用 OIDC 令牌换取 STS Token 时，腾讯云会校验 OIDC 令牌中 aud 字段所携带的客户端 ID 与 OIDC 身份提供商中配置的客户端 ID 是否一致。只有一致时，才允许扮演角色。