本文将概述身份提供方支持、功能和要求。
支持的 IDP
Vault 文件管理器支持以下身份提供方:
- Ping Identity
- ADFS
- Okta
- Microsoft Azure™ AD
身份验证工作原理
Vault 文件管理器身份验证的工作原理如下所示:
- 使用从 Vault 配置文件检索的授权服务器 (AS) 元数据,以允许用户通过 OAuth 2.0/OpenID Connect 向 AS 进行身份验证,或者通过用户名和密码直接向 Vault 进行身份验证。
- 根据
id_token或access_token请求 Vault 会话。 - 当通过 JWK URI 发布密钥时,如果令牌显示为 JWT,则允许 Vault 在本地验证令牌。
- 如果 AS 显示了自省终结点,则允许 Vault 使用自省终结点来远程验证令牌。
注意:从 19R1.4 开始,如果在 OAuth 2.0/OpenID Connect 配置文件中选择了“Ping”或“其他”,则建议将授权服务器中的重定向 URI 更新为 com.veeva.vaultfilemanager://authorize。不建议继续使用动态重定向 URI。有关更多信息,请联系您的客户成功经理。
身份验证支持
Vault 文件管理器支持:
- 不使用客户端密码的 OAuth 2.0/OpenID Connect。
- 使用
openid和offline_access范围的授权代码授权类型。 - 如果 AS 遵循
offline_access范围并显示了一个refresh_token,则静默刷新 Vault 会话。 - 根据用户的联合 ID 或 Vault 用户名进行联合。
- 现代 Windows 身份验证 (ADAL),可以在配置之后向 Microsoft ADFS 进行身份验证。
要求
Vault 文件管理器要求:
- 在令牌的
sub声明中包含用户的联合 ID。如果sub声明不可用或者无法被修改以包含正确的联合 ID,则客户可以配置一个替代标识符声明。 - 用于支持硬编码客户端 ID 的 AS。客户可以在客户端应用程序(例如 Vault 文件管理器)中存储的硬编码客户端 ID 与应 AS 要求生成的客户端 ID 之间创建一个映射。
注意:Veeva Vault Platform 强烈建议授权服务器支持 PKCE。