新建SSO配置(OIDC协议)

单点登录（SSO）允许企业员工使用统一的企业身份（如微软 Entra ID 等基于 OIDC 协议的身份提供商）直接登录 eSignGlobal 平台。这不仅免去了记忆多套账号密码的烦恼，还能帮助企业统一管控访问权限，提升安全合规水平。

【适用版本】专业版及以上可用（需安装 “Single Sign-on” 插件）。

前提条件

1. 权限要求：必须是工作空间超级管理员（Workspace Super Admin）才能进行 SSO 配置。普通成员和普通管理员无法访问此配置页面。
2. 插件要求：确保您的工作空间已在应用插件中心安装并启用了 “Single Sign-on” 插件。
3. IdP 准备：您需要在企业的身份提供商（IdP，如 Microsoft Entra ID）中创建一个应用，并获取相关的 OIDC 配置信息（如 Client ID、Client Secret、Issuer URL 等）。

配置步骤

第一步：进入 SSO 配置页面

登录 eSignGlobal 后，进入工作空间的管理后台，找到 “Single Sign-on” 插件配置入口，点击进入添加配置（Add Configuration）面板。

第二步：填写基础信息与协议选择

1. 输入 SP Identifier： 在 SP Identifier 输入框中，自定义填写一段标识符。此标识符将用于员工登录时识别所属的工作空间。（请妥善记录此标识符，后续登录时需要使用）。
2. 选择协议： 在 SSO Protocol 下拉菜单中，选择 OIDC。

第三步：获取并配置重定向地址

选择 OIDC 协议后，系统会自动生成 Redirect URI (Callback URL)。

1. 点击输入框右侧的复制图标，将生成的 URL 复制。
2. 前往您的身份提供商（IdP）管理控制台，将复制的 URL 填写到对应的重定向地址（Redirect/Callback URL）配置中。

第四步：配置 IdP 参数与客户端凭证

此步骤中需要填写从 IdP 处提取的相关参数与密钥信息。系统为您提供了便捷的端点配置抓取功能：

1. 填写客户端凭证：
   • Client ID：填写在 IdP 创建应用后获得的客户端 ID。
   • Client Secret：填写在 IdP 获取的客户端密钥。（为保障安全，密钥一旦保存，再次编辑时将进行不可逆脱敏或替换为星号）。
2. 填写 Issuer URL (Discovery URL)：输入您的身份提供商的基础 Issuer 地址。
3. 获取端点配置（点击【Fetch Config】按钮）：
   • 系统将尝试自动连接您的 IdP，并解析出 Authorization Endpoint、Token Endpoint、JWKS URI 以及 UserInfo Endpoint。
   • 如果在内网环境或自动获取失败，系统会提示“获取配置失败”。此时您无需担心，可以直接在下方的各个端点输入框中手动填写对应的信息。
   • 注意：UserInfo Endpoint 为非必选项。

第五步：保存配置

确认所有基础信息、客户端凭证及端点信息均已无误后，点击底部 【Confirm】 保存配置。