跳转至

为 Microsoft Azure/AD 设置 OIDC

在 Azure 中创建和配置新的应用程序注册

  1. 打开 Azure 门户。
  2. 选择 Microsoft Entra ID -> App 注册

  3. 选择 + New Registration 开始创建新的应用程序。

    • 名称:输入在 Azure 中新应用程序注册的显示名称。您可以选择任何名称。
    • 支持的账户类型:选择 仅本组织目录中的账户
    • 重定向 URI:从 octoplant 服务器上的 OIDC 绑定 对话框中复制 URI。

  4. 选择 注册 创建新的应用程序注册。此时将显示新应用程序注册的 概述

  5. 复制 应用程序(客户端)ID,将其添加到 OIDC 绑定 对话框中。

  6. 启用 以下移动和桌面流程

  7. 进入 API 权限

  8. 选择 + 添加权限
  9. Microsoft APIs 下选择 Microsoft Graph

  10. 选择 委托权限,然后在 OpenId 权限 下选择 email、OpenId 和 profile

  11. 选择 令牌配置 -> 添加组声明 -> 选择:安全组 -> ID ,然后启用 组 ID

使用 OAuth 与 LDAP 同步

  1. 选择 令牌配置 -> 添加可选声明 ** -> 选择:令牌类型 == ID,然后启用 onprem_sid**。
  2. 选择 令牌配置 -> 添加组声明 ->选择:安全组 -> ID,然后启用 本地组安全标识符

启用 LDAP 会改变 OAuth 登录的工作方式。

  • 要使用 LDAP 用户登录,首先要运行 LDAP 同步。用户必须已经与 Azure AD 同步。
  • 对于使用 onprem_sid 的用户,只分配包含 OnPrem SID 的组。其他所有组都将被忽略。

Info

我们不建议在 OAuth 之后启用 LDAP。

octoplant 可以使用 SID 和令牌声明将 LDAP 用户映射到 OAuth 用户,但不能将现有的 OAuth 用户映射到新添加的 LDAP 用户。

如果在 OAuth 之后启用 LDAP:

  • 如果数据库中已经存在匹配的 OAuth 用户,则 LDAP 同步将创建重复用户。
  • 下次登录时,octoplant 会将用户与他们的 LDAP 身份关联起来,而不是与原始的 OAuth 账户关联起来,从而导致之前配置的权限丢失。

如果您无法避免地需要在 OAuth 之后启用 LDAP,请联系我们的支持团队。我们将协助您进行手动数据迁移。