1. 认证源基础说明
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 认证源基础说明

认证源选型说明

概述#

本文档帮助您根据业务场景选择合适的认证协议。专属集成平台支持多种认证协议,包括 OIDC、OAuth2、SAML、CAS 以及多种社交登录方式。选择正确的协议是保障认证安全性与用户体验的关键第一步。

协议对比概览#

协议复杂度安全性适用场景推荐度
OIDC中高现代 Web 应用、移动端⭐⭐⭐⭐⭐
OAuth2低中API 授权、第三方登录⭐⭐⭐⭐
SAML高高企业级应用、SSO⭐⭐⭐⭐
CAS中中单点登录、老系统⭐⭐⭐

协议详解#

OIDC(OpenID Connect)#

简介:OIDC 是基于 OAuth2.0 的身份层协议,是现代应用推荐的身份认证标准。
优势:
基于 JSON,轻量级易于实现
内置身份令牌(ID Token),包含丰富用户信息
支持 RESTful API,易于与移动端集成
良好的移动端支持
标准化程度高,互操作性好
适用场景:
现代 Web 应用(SPA、移动端)
需要获取用户详细信息的应用
微服务架构
多平台统一身份认证
不适用场景:
老旧系统(不支持 OAuth2)
对协议复杂性有严格限制的环境
配置要点:
选择合适的授权类型(Authorization Code 推荐)
配置正确的回调 URL
根据需求选择授权范围(Scope)

OAuth 2.0#

简介:OAuth2.0 是授权协议的标准,主要用于 API 授权而非身份认证。
优势:
成熟的授权机制
广泛的平台支持
灵活的作用域控制
适合资源访问授权
适用场景:
第三方应用授权(如"使用微信登录")
API 访问授权
跨系统数据共享
不适用场景:
需要严格身份认证的场景(应使用 OIDC)
需要获取详细用户信息的场景
重要:如果只需要用户身份认证,强烈建议使用 OIDC 而非纯 OAuth2。
配置要点:
明确区分认证与授权的使用场景
配置合适的授权类型(客户端凭证、授权码等)
设置合理的 Token 有效期和作用域

SAML 2.0#

简介:SAML 是 XML 格式的企业级 SSO 标准,广泛用于企业应用集成。
优势:
企业级安全标准
成熟的 SSO 实施经验
广泛的企业应用支持
无需直接传递密码
适用场景:
企业内部应用 SSO
需要与 AD、LDAP 集成的场景
大型企业组织
对安全性要求高的场景
不适用场景:
移动端应用(推荐 OIDC)
微服务架构
简单的第三方登录
配置要点:
正确配置 Entity ID 和 ACS URL
确保时钟同步
配置正确的属性映射

CAS(Central Authentication Service)#

简介:CAS 是专门为 Web 应用设计的单点登录协议。
优势:
专为 SSO 设计
简单易用
良好的会话管理
支持代理认证
适用场景:
传统 Web 应用
需要简单 SSO 的场景
需要代理认证的场景
教育机构(很多教育系统使用 CAS)
不适用场景:
移动端应用
需要与现代协议兼容的场景
配置要点:
正确配置 CAS Server URL
配置 Service Ticket 校验地址
设置合理的 Session 超时时间

协议选型决策树#

开始
  │
  ├─ 是否需要获取用户详细信息?
  │   │
  │   ├─ 是 → 是否是现代 Web/移动应用?
  │   │   │
  │   │   ├─ 是 → 推荐 OIDC
  │   │   │
  │   │   └─ 否 → 是否是企业级应用?
  │   │       │
  │   │       ├─ 是 → 推荐 SAML
  │   │       │
  │   │       └─ 否 → 推荐 CAS
  │   │
  │   └─ 否 → 只需要授权还是需要认证?
  │       │
  │       ├─ 仅授权 → 推荐 OAuth2
  │       │
  │       └─ 需要认证 → 推荐 OIDC
  │
  └─ 是否有现有 AD/LDAP?
      │
      ├─ 是 → 推荐 SAML + AD 集成
      │
      └─ 否 → 推荐 OIDC
提示:多数企业的实际需求是"获取用户信息 + 现代架构",此时 OIDC 是最优选择。决策树中的每条路径对应一种典型场景,可根据实际情况灵活调整。

企业平台选型#

对于国内企业办公场景,各企业平台的选择建议如下:
平台推荐协议说明
企业微信OAuth2使用企业微信 OAuth2 接口进行扫码登录
钉钉OIDC钉钉提供 OIDC 支持,获取完整用户信息
飞书OIDC飞书提供 OIDC 支持,与飞书账号体系无缝集成

选择建议#

企业微信:如果只需要扫码登录,使用 OAuth2;如需完整用户信息,建议通过通讯录集成同步用户数据,认证侧保持轻量
钉钉:推荐使用 OIDC 协议,获取完整的用户信息,与钉钉组织架构打通
飞书:推荐使用 OIDC 协议,与飞书账号体系无缝集成,用户属性丰富

常见问题#

Q1:OIDC 和 OAuth2 有什么区别?
Q2:SAML 太复杂,可以换成 OIDC 吗?
Q3:移动端推荐使用什么协议?
Q4:如何保证认证安全性?
修改于 2026-05-06 10:45:46
上一页
使用代理网关进行身份同步
下一页
认证源管理概述
Built with