前置条件
- 已联系销售或客户经理完成 IAM Gateway 开通与部署
- 已注册 ZeroNews 账号并登录 控制台
步骤一:部署 IAM Gateway 私有化模块
IAM Gateway 部署完成后,本地访问管理页面(IAM Admin Console),使用私有化部署 IAM Server 的本地管理员账号登录。IAM Admin Console 内的详细配置(用户管理、应用管理、Connector 创建等)请参见 IAM 管理后台相关文档。
步骤二:在 ZeroNews 控制台添加隧道
进入 控制台 → 隧道管理,为需要受 IAM 保护的内网服务创建隧道。隧道协议选择 HTTPS,公网域名按需选择。步骤三:在第三方身份平台添加应用
在目标身份提供商(如企业微信、飞书、Okta、Auth0 等)管理后台注册 OIDC 应用,记录以下信息:- Issuer:身份提供商的签发者 URL
- Client ID:注册应用后获取的凭证
- Client Secret:注册应用后获取的凭证
- Redirect URI:设置为
https://<隧道域名>/oidc/callback
步骤四:在 ZeroNews 控制台创建 OIDC Provider
1. 进入功能模块
- 登录 ZeroNews 控制台,在顶部导航栏点击 IAM Gateway
- 确认当前停留在 OIDC 验证模块 → OIDC Provider 页面
2. 创建 Provider
- 点击右上角 新建 Provider,系统从侧边弹出配置表单
- 填写以下配置:
| 配置项 | 说明 |
|---|---|
| Provider 名称 | 为该登录源命名,如”公司内部统一登录” |
| 描述 | 用于区分不同环境或租户的备注 |
| 启用 | 保持默认开启,确保配置即时生效 |
| Issuer | 身份提供商的签发者 URL,如 https://iam.zeronews.cc |
| Client ID | 在第三方平台注册应用时获取的客户端 ID |
| Client Secret | 对应的客户端密钥 |
| Redirect Path | 默认 /oidc/callback |
| Logout Path | 默认 /logout |
| Scopes | 勾选需要的权限范围,如 openid、profile、email |
| 关联隧道 | 将统一登录验证绑定到具体隧道,选择要保护的 Tunnel |
- 点击 创建
管理 Provider
创建成功后,列表中展示已建好的 Provider 记录:| 列 | 说明 |
|---|---|
| Provider 名称 | 创建时设置的名称 |
| Issuer | 身份提供商的签发者 URL |
| Client ID | 第三方平台注册应用的客户端 ID |
| 覆盖 Tunnel 数 | 已绑定该 Provider 的隧道数量 |
| 状态 | active 表示鉴权服务正常运行 |
| 更新时间 | 最近一次配置修改的时间 |
- 编辑:第三方平台密钥过期或配置变更时修改更新
- 删除:移除废弃的 Provider(需先解绑所有关联隧道)