Passive模式认证
用户访问集成应用时,应用向平台发起基于WS-Federation 协议的认证登录(Passive模式),用户输入用户密码认证成功后,平台将通过浏览器发起 POST 请求,回调断言消费地址。
# 登录流程
流程说明:
Browser向 SP 发起请求获取资源A
SP请求Browser提供认证凭证
Browser向IP请求认证凭证
Browser 和 IP 进行认证,例如: IP弹出个可供输入账号/密码的窗口,用户输入后上传给IP
IP鉴定身份,发布认证凭证 (即,对应第3步的应答)
Browser将IP给的凭证发送给SP (即,对应第2步的应答)
SP判断凭证合法后,返回资源给Browser (即,对应第1步的应答)
# 请求说明
GET https://{your_domain}/api/v1/sso/wsfed/{your_app_clientId}/passive
# 请求参数
| 参数名 | 必须 | 示例值 | 描述 |
|---|---|---|---|
| wa | 是 | wsignin1.0 | 固定参数: wsignin1.0 |
| wtrealm | 是 | urn:federation:MicrosoftOnline | 用于标识访问的应用,与应用配置中的 Wtrealm 保持一致 |
| wreply | 是 | https://login.microsoftonline.com/login.srf | 如果参数中携带 wreply 参数时校验。 与应用配置中 Wreply 保持一致,如果是Http协议,则只需要保持域名一致 |
| wctx | 否 | 上下文参数,接口返回时携带相同参数返回 |
# 请求示例
https://{your_domain}/api/v1/sso/wsfed/{your_app_clientId}/passive?wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline
# 响应示例
POST https://{wreply}
1
| 参数名 | 必须 | 示例值 | 描述 |
|---|---|---|---|
| wa | 是 | wsignin1.0 | 固定参数: wsignin1.0 |
| wresult | 是 | SAML1.1 断言 | |
| wctx | 否 | 上下文, 当请求参数中携带wctx参数时返回,与请求参数中携带的wctx参数一致 |
错误响应示例
{
"code": "SSO_WSFED_BAD_REQUEST",
"data": null,
"message": "参数[wtrealm]不正确"
}
1
2
3
4
5
6
2
3
4
5
6
# 登出流程
# 请求说明
GET https://{your_domain}/api/v1/sso/wsfed/{your_app_clientId}/logout
# 请求参数
| 参数名 | 必须 | 示例值 | 描述 |
|---|---|---|---|
| wa | 是 | wsignout1.0 | 固定参数: wsignin1.0 |
| wreply | 否 | https://login.microsoftonline.com/login.srf | 如果为空时,登出后浏览器重定向到IDaaS登录页面。 如果不为空时,登出后浏览器重定向到指定地址 |
# 请求示例
https://{your_domain}/api/v1/sso/wsfed/{your_app_clientId}/logout?wa=wsignout1.0&wreply={your_login_url}