Automation 360 Control Room 可以作为 OAuth 2.0 和 OpenID Connect (OIDC) 授权服务器进行 Cloud 部署,使管理员能够为每个 Control Room 注册最多 25 个外部 OAuth 客户端,并管理其生命周期和访问权限。

注册后,这些客户端可以使用标准的 OAuth 2.0 和 OIDC 流程从 AAI 授权服务器获取令牌,并使用这些令牌安全地访问 Automation 360 资源。 Control Room 支持授权码、带有 PKCE 的授权码和刷新令牌授权类型,用于签发和续订这些令牌。 此功能支持基于标准的与第三方系统和内部应用程序的入站集成,包括 MCP 客户端和其他 OAuth 兼容客户端。

AAI 授权服务器签发具有以下属性的 OAuth 令牌:

  • 令牌格式 - 指示所签发的令牌是否为 JSON 网页令牌 (JWT)。
  • 访问令牌过期时间 - 指示访问令牌在过期前保持有效的时长。
  • 刷新令牌生命周期 - 指示刷新令牌可用于获取新访问令牌的时长。
  • JWKS 终端节点 - 是公开 JSON 网页密钥集 (JWKS) 的终端节点,包含用于验证 JWT 签名的公钥。

这些设置决定了已签发令牌的有效期,以及外部系统在与 Automation 360 集成时如何验证或撤销令牌。

注: 要将 Control Room 配置为用于与外部服务进行出站连接的 OAuth 客户端,请参阅 Control Room 中的配置 OAuth 连接

先决条件

确保您的用户角色包含以下 Control Room 权限之一:
  • 应用程序注册查看 – 用于查看现有的 OAuth 客户端。
  • 应用程序注册管理 – 用于创建、更新和删除 OAuth 客户端。

过程

  1. 登录到 Automation 360 Control Room
  2. 从左侧导航中,选择管理
  3. 导航到 OAuth 客户端。 它会列出在 Control Room 中注册的所有现有 OAuth 客户端(如有)。查看 OAuth 客户端
  4. 单击创建客户端以注册新的 OAuth 客户端。创建新的 OAuth 客户端
  5. 输入一个唯一的应用程序名称,以识别该 OAuth 客户端。
  6. 从下拉列表中选择应用程序类型
    • 常规网页 - 当您打算使用客户端密钥时,请使用此应用程序类型。 它通常适用于客户端部署在可保护密钥的安全网页服务器上的场景。
    • 单页应用程序 - 当您打算使用 PKCE 并放弃传递客户端密钥时,请使用此应用程序类型。 它通常适用于客户端部署在无法保障密钥安全的非受保护环境中的场景。
  7. 可选:OAuth 客户端输入描述
  8. 输入一个或多个重定向 URI 以验证客户端,然后单击添加。 用逗号分隔每个重定向 URI。 目前,您最多可以添加 10 个重定向 URI。
    注: 当您保存 OAuth 客户端配置时,系统会检查所有重定向 URI 是否使用 HTTPS。 一旦验证通过,将生成客户端元数据。
  9. 单击创建客户端

    新创建的客户端将显示在 OAuth 客户端页面上。 单击已创建的应用程序名称 以查看 OAuth 客户端详细信息,其中包含自动生成的客户端元数据。 请参阅 查看和管理 OAuth 客户端

    所有生成的值都可以单独复制。 与外部应用程序所有者共享客户端 ID客户端密钥和终端节点 URL,以便可以在其 OAuth 客户端应用程序中进行配置。

    注:
    • 按照密码的相同方式处理客户端密钥。 它只能与外部应用程序的受信任管理员共享,并存储在安全的位置,例如密钥管理器中。
    • 授权用户可以随时从 OAuth 客户端页面查看客户端密钥