SSO单点登录功能
- 基于Oauth 2协议的SSO单点登录功能,支持通过统一认证服务器(Auth Server)完成一次登录,即可访问本系统,无需重复输入账号密码
一、功能介绍
- 标准对接:提供灵活的对接配置、智能用户匹配能力,兼顾系统对接效率与用户登录体验。支持授权码(authorization_code)、刷新令牌(refresh_token)等主流授权模式。
- 灵活参数配置:可自定义对接Auth Server的请求方式、参数传输、授权范围等核心参数,适配不同的认证服务。
- 智能用户匹配:支持「自动匹配+手动匹配」两种方式关联本系统与Auth Server的用户,避免重复注册。
- 快捷登录体验:用户仅需输入邮箱即可触发SSO登录,支持参数快捷填充,简化操作流程。
二、操作指南
管理员:SSO连接参数配置
1. 进入配置页面
在系统管理后台 - 「认证配置」- 「SSO对接」,点击「新增Oauth 2配置」。
2. 配置核��心参数
- 请求方法:选择与Auth Server对接的HTTP方法(支持
GET/POST)| - 授权范围:勾选需从Auth Server获取的用户信息(如
openid、email、mobile、profile等) | - 参数传输方式:选择参数的传递方式(
form_body/query_string/payload)| - 授权模式:选择Oauth 2授权模式(推荐「
authorization_code」)| - 客户端认证方式:选择客户端凭证的传递方式(
client_secret_basic/post)| - Token传输方式:选择Access Token的传递方式(
header/query_string)|
3. 用户匹配设置
- 自动匹配:首次配置时,系统按优先级(account - email - mobile - profile)自动关联本系统与Auth Server的用户;后续统一通过Auth Server返回的
openid(用户唯一标识)匹配。 - 手动匹配:点击「编辑用户映射」可手动关联用户,击编辑后,需所有用户配置完成后才能保存
普通用户:SSO登录操作
1. 发起SSO登录
在系统登录页,点击「SSO登录」入口(所有用户可见)
2. 输入邮箱触发匹配
在SSO登录页输入邮箱后,系统自动执行以下逻辑:
- 若邮箱+用户+租户域名三者匹配:直接跳转到对应的Auth Server登录页;
- 若信息不吻合,您会得到错误提示,此时请重新输入正确的信息
- 若用户属于多个租户且均配置了域名:默认跳转到「用户上次登录的租户」对应的Auth Server。
3. 快捷登录(可选)
登录页支持携带以下参数实现快捷操作:
- 携带
email=xxx@xx.com:邮箱会自动填充到输入框; - 携带
domain=xxx.com:直接查询对应域名的配置并跳转。
4. 完成认证并进入系统
在Auth Server输入账号密码完成登录后:
- 若认证成功且用户信息匹配:自动跳转到系统首页/之前访问的页面;
- 若认证失败/用户匹配失败,您会得到错误提示,此时请重新输入正确的信息
三、常见问题
- 配置后SSO登录失败
- 检查对接参数(如授权范围、客户端凭证)是否与Auth Server一致
- 检查用户映射关系是否正确
- 输入邮箱后跳转错误
- 确认邮箱对应的用户是否属于当前租户
- 确认租户的域名配置是否正确
- Auth Server登录后无法进入系统
- 检查Auth Server是否返回了正确的用户信息
- 确认本系统是否已存在该用户