身份供应者

## 集成身份提供商
身份代理是连接服务提供商与身份提供商的中介服务。身份代理创建与外部身份提供者的关系，以使用提供者的身份访问服务提供者公开的内部服务。

从用户的角度来看，身份代理提供了一种以用户为中心的集中方式来管理安全域和领域的身份。您可以将帐户与身份提供商的一个或多个身份相关联，或根据他们的身份信息创建帐户。

身份提供者源自用于对用户进行身份验证并向用户发送身份验证和授权信息的特定协议。有可能：

1. 社交提供商，例如 微信、QQ 或 钉钉。
  2. 其用户需要访问您的服务的业务合作伙伴。
  3. 您想要集成的基于云的身份服务。

通常，MaxId将身份提供者基于以下协议：

- SAML v2.0
  - OpenID Connect v1.0
  - OAuth v2.0

### 概览

当使用MaxId作为身份代理时，MaxId不会强制用户提供其凭据以在特定领域进行身份验证。MaxId显示可以进行身份验证的身份提供商列表。

如果您配置默认身份提供商，MaxId会将用户重定向到默认提供商。

不同的协议可能需要不同的身份验证流程。MaxId支持的所有身份提供商都使用以下流程。

![](/media/202309/2023-09-20_112448_308881.jpeg)

1. 未经身份验证的用户请求客户端应用程序中的受保护资源。
2. 客户端应用程序将用户重定向到MaxId进行身份验证。
3. MaxId显示登录页面，其中包含领域中配置的身份提供商列表。
4. 用户通过单击其按钮或链接来选择其中一个身份提供商。
5. MaxId向目标身份提供商发出身份验证请求，请求身份验证并将用户重定向到身份提供商的登录页面。管理员已为管理控制台的身份提供程序设置连接属性和其他配置选项。
6. 用户提供凭据或同意向身份提供商进行身份验证。
7. 身份提供商成功进行身份验证后，用户将重定向回 MaxId并提供身份验证响应。通常，响应包含MaxId 使用的安全令牌来信任身份提供者的身份验证并检索用户信息。
8. MaxId检查身份提供者的响应是否有效。如果有效，MaxId会导入并创建一个用户（如果该用户尚不存在）。如果令牌不包含该信息，MaxId可能会向身份提供者询问更多用户信息。这种行为就是身份联合。如果用户已经存在，MaxId可能会要求用户将从身份提供者返回的身份与现有帐户链接起来。这种行为就是账号关联。使用 MaxId，您可以配置帐户链接并在首次登录流程中指定它。在此步骤中，MaxId对用户进行身份验证并颁发其令牌以访问服务提供者中所请求的资源。
9. 当用户进行身份验证时，MaxId通过发送先前在本地身份验证期间颁发的令牌将用户重定向到服务提供商。
10. 服务提供商从MaxId接收令牌并允许访问受保护的资源。
11. 该流程的变化是可能的。例如，客户端应用程序可以请求特定的身份提供程序，而不是显示它们的列表，或者您可以设置MaxId以强制用户在联合其身份之前提供其他信息。
12. 在身份验证过程结束时，MaxId向客户端应用程序颁发其令牌。客户端应用程序与外部身份提供者是分开的，因此它们无法看到客户端应用程序的协议或它们如何验证用户的身份。

### 默认身份提供商

MaxId 可以重定向到身份提供商，而不是显示登录表单。要启用此重定向：

步骤：

1. 单击菜单中的身份验证。
  2. 单击浏览器流。
  3. 单击身份提供商重定向器行上的齿轮图标 ⚙️。
  4. 将默认身份提供商设置为要将用户重定向到的身份提供商。
  5. 如果 MaxId 找不到配置的默认身份提供商，则会显示登录表单。

### 通用配置

身份代理配置的基础是身份提供者 (IDP)。MaxId为每个领域创建身份提供程序，并默认为每个应用程序启用它们。领域中的用户在登录应用程序时可以使用任何已注册的身份提供商。

步骤：

1. 单击菜单中的身份提供商。
    身份提供商
![](/media/202309/2023-09-20_141534_284361.jpeg)
  2. 选择身份提供商。MaxId显示您选择的身份提供商的配置页面。
     添加 Facebook 身份提供商
![](/media/202309/2023-09-20_141741_058977.jpeg)

配置身份提供程序时，身份提供程序将作为选项显示在 MaxId 登录页面上。您可以在每个身份提供商的登录屏幕上放置自定义图标。有关详细信息，请参阅 自定义图标。

IDP 登录页面
![](/media/202309/2023-09-20_141758_418252.png)

| 配置       | 描述                                                                                                                                                        |
|----------|-----------------------------------------------------------------------------------------------------------------------------------------------------------|
| 别名       | 别名是身份提供者的唯一标识符，并引用内部身份提供者。MaxId 使用别名为 OpenID Connect 协议构建重定向 URI，该协议需要重定向 URI 或回调 URL 才能与身份提供者进行通信。所有身份提供者都必须有一个别名。别名示例google等。 |
| 启用       | 打开或关闭提供程序。                                                                                                                                                |
| 在登录页面隐藏  | 当开启的时候，MaxId 不会在登录页面上显示此提供程序作为登录选项。客户端可以通过使用 URL 中的“kc_idp_hint”参数来请求此提供程序来请求登录。                                                                         |
| 仅限帐户链接   | 当开启时，MaxId 将现有帐户与此提供商链接。该提供程序无法让用户登录，并且 MaxId 不会在登录页面上将此提供程序显示为选项。                                                                                  |
| 商店令牌     | 当开启时，MaxId 存储来自身份提供商的令牌。                                                                                                                               |
| 存储的令牌可读  | 当ON时，用户可以检索存储的身份提供商令牌。此操作也适用于代理客户端级角色read token。                                                                                                          |
| 信任电子邮件   | 当开启时，MaxId 信任来自身份提供商的电子邮件地址。如果领域需要电子邮件验证，则从此身份提供商登录的用户不需要执行电子邮件验证过程。                                                                                   |
| 图形用户界面订单 | 登录页面上可用身份提供商的排序顺序。                                                                                                                                        |
| 验证基本声明   | 当开启时，身份提供者颁发的 ID 令牌必须具有特定的声明，否则用户无法通过此代理进行身份验证                                                                                                            |
| 基本主张     | 当“验证基本声明”为开启时，要过滤的 JWT 令牌声明的名称（匹配区分大小写）                                                                                                                   |
| 基本索赔价值   | 当“验证基本声明”为ON时，要匹配的 JWT 令牌声明的值（支持正则表达式格式）                                                                                                                  |
| 首次登录流程   | 当用户首次使用此身份提供程序登录 MaxId 时，MaxId 会触发身份验证流程。                                                                                                           |
| 登录后流程    | 当用户完成使用外部身份提供商的登录时，MaxId 身份验证流程就会触发。                                                                                                                   |
| 同步模式     | 通过映射器从身份提供者更新用户信息的策略。当选择legacy时，MaxId使用了当前的行为。导入不会更新用户数据，并在可能的情况下强制更新用户数据。有关详细信息，请参阅身份提供者映射器。                                                          |

### 社交身份提供商

社交身份提供商可以将身份验证委托给受信任、受尊重的社交媒体帐户。MaxId包括对微信，QQ,钉钉等社交网络的支持。

##### 谷歌
步骤：

1. 单击菜单中的身份提供商。
2. 从列表中选择Google。
3. 将重定向 URI的值复制到剪贴板。
4. 在单独的浏览器选项卡中打开[Google Cloud Platform ](https://console.cloud.google.com/ "Google Cloud Platform ")控制台。
5. 在 Google 应用程序的 Google 仪表板中，单击OAuth 同意屏幕菜单。创建同意屏幕，确保同意屏幕的用户类型是外部的。
6. 在谷歌仪表板中：
    -单击凭据菜单。
    -单击创建凭据- OAuth 客户端 ID。
    -从应用程序类型列表中，选择Web 应用程序。
    -使用剪贴板中的重定向 URI作为授权重定向 URI
    -单击创建。
    -记下您的客户端 ID和您的客户端密钥。
7. 在 MaxId 中，将您的客户端 ID的值粘贴到客户端 ID字段中。
8. 在 MaxId 中，将“您的客户端密钥”的值粘贴到“客户端密钥”字段中。
9. 单击添加
10. 在默认范围字段中输入所需的范围。默认情况下，MaxId 使用以下范围：openid profile email. 有关 Google 范围的列表，请参阅OAuth Playground 。
11. 要仅限制对 GSuite 组织成员的访问，请在托管域字段中输入 GSuite 域。
12. 单击“保存”。