在ZStack Cloud主菜单,点击,进入统一认证SSO界面,点击添加统一认证服务器,弹出添加统一认证服务器界面。
可参考以下示例输入相应内容:
- 名称:设置统一认证服务器名称
- 简介:可选项,可留空不填
- 类型:统一认证服务器的协议类型,暂仅支持OIDC协议认证服务器,可认证并授权统一认证用户免密登录平台,并将用户信息按照映射规则同步至平台
- 认证供应商:负责收集、存储用户身份信息,如用户名、密码等,在用户登陆时负责认证用户的服务。支持标准协议、正方单点登录SSO、阿里IDaaS(私有化)、MaxKey单点登录SSO四种认证供应商
- Redirect URL:用于认证服务器认证通过后,重定向至平台的URL
- Redirect Template:平台系统内部实现免密登录的重定向模板。若平台配置了反向代理,需修改此参数的IP地址及端口
- Client ID:认证系统为平台分配的唯一标识符
- Client Secret:认证系统为平台分配的密钥
- Scope:用于指定请求访问令牌或ID令牌时,获取的用户属性范围,如用户名(name)、电子邮件地址(email)、电话号码(phone)等。指定Scope后,返回的令牌将包含对应属性
- Authorization Request URL:授权码(Authorization Code)模式下,用于获取授权许可的请求 URL
- Token Request URL:从认证服务器获取访问 Token(Access Token)的请求 URL
- Userinfo Request URL:从认证服务器获取用户信息的请求URL
- Logout URL: 用于平台退出登录后调用 Logout URL 注销会话,下一次登录平台时需重新登录统一认证系统。若留空不填,则平台退出登录后不会立即清理登录信息,会话有效期内仍可再次免密登录平台
- 用户映射规则:统一认证用户同步至平台后,将具备平台本地属性。映射规则用于建立统一认证属性与本地属性之间的映射关系
- 用户名:设置平台用户的用户名与OIDC认证服务器中用户某一属性的映射关系。用户名在平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性
例如:若用户名映射username,则同步至平台的用户的用户名将使用username相应的value(例如:xiaoming)
- 简介:可选项,设置平台用户的简介与OIDC认证服务器中用户某一属性的映射关系
例如:若用户简介映射description,平台创建用户的简介将使用description相应的value(例如:开发部-后端)
- 用户名:设置平台用户的用户名与OIDC认证服务器中用户某一属性的映射关系。用户名在平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性
如图1所示:
图1 添加统一认证服务器