SSO（OIDC）接入概述

这套能力是什么

Ksuser SSO 基于 OIDC（OpenID Connect）实现，定位是内部服务统一登录与身份识别。

核心目标：

• 让多个内部服务复用同一套登录态
• 为每个服务提供稳定且唯一的用户标识（sub）
• 在授权范围内按需获取用户资料字段

当前支持能力

• 授权模式：authorization_code
• 发现文档：GET /.well-known/openid-configuration
• 授权端点：/sso/authorize
• 令牌端点：POST /sso/token
• 用户信息端点：GET /sso/userinfo
• 支持 scope：openid、profile、email
• 支持 PKCE：S256

字段能力

/sso/userinfo 返回字段按 scope 控制：

• 固定返回：
  • sub
• scope 包含 profile 时：
  • nickname
  • preferred_username
  • picture
• scope 包含 email 时：
  • email
  • email_verified

管理权限模型

• personal、enterprise、admin 都可创建 OAuth2 应用
• 只有 admin 可创建/管理 SSO 内部服务应用

文档导航

• 详细适配流程：/sso/develop
• 服务级用户设置实践：/sso/service-profile