ZStack Logo

ZStack AIOS

添加统一认证服务器

完整平台用户手册,包含基础云平台能力与 AIOS 相关章节。

ZStack Cloud主菜单,点击运营管理 > 租户管理 > 人员与权限 > 统一认证SSO,进入统一认证SSO界面,若未添加统一认证服务器,点击添加统一认证服务器,在平台添加统一认证服务器。

添加统一认证服务器分为以下五种类型:
  • 添加AD服务器
  • 添加LDAP服务器
  • 添加OIDC服务器
  • 添加OAuth2服务器
  • 添加CAS服务器

添加AD服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择AD服务器
  2. 配置AD服务器:设置AD服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:自定义AD服务器名称
    • 简介:可选项,设置备注信息或简介信息
    • 类型:已选择AD
    • 主服务器IP/域:输入主AD服务器IP地址或域
    • 主服务器端口:输入主AD服务器对应的端口
    • SSL/TLS加密:选择是否开启SSL/TLS加密,默认开启
      • 勾选表示使用SSL/TLS加密,此方式默认使用636端口,支持自定义修改。
      • 不勾选表示不使用任何加密方式,此方式默认使用389端口,支持自定义修改。
    • 备服务器IP/域:可选项,输入备AD服务器IP地址
    • 备服务器端口:可选项,输入备AD服务器对应的端口
    • 配置信息:配置同步AD用户范围相关配置信息,需要设置以下参数:
      • 基本DN:输入基本DN,用于检索AD用户及组织架构的根节点,规定同步AD用户及组织架构的范围
      • 用户DN:输入用户DN,拥有查询基本DN范围内所有用户权限的特殊用户,用于登录AD服务器并获取相关数据
      • 密码:用户DN对应的登录密码
      • 过滤策略:选择是否在同步用户信息时进行过滤,默认不过滤。若打开开关,可配置过滤机制与过滤规则
        • 过滤机制:支持黑名单和白名单两种过滤机制
          • 若选择黑名单,同步用户信息时,过滤规则中配置的用户信息将不会同步至平台。
          • 若选择白名单,同步用户信息时,只有在过滤规则中配置的用户信息才会同步至平台。
        • 过滤规则:用于过滤基本DN中的用户
          说明:
          • 过滤规则输入长度受AD服务器配置限制,超出限制可能导致过滤规则不生效,请提前确认。
          • 过滤规则输入语法与AD过滤语法一致,详情请参考微软官方链接
          • 例如:若过滤机制选择黑名单,过滤规则设置为(&(name=filterName)(description=departure)),表示过滤基本DN中name=filterName且description=departure的用户。
    图1所示:


    图1 配置AD服务器
    AD服务器配置完成后,点击下一步按钮,自动测试连接并进入下一步,或点击测试连接按钮,手动检测配置正确性以及AD服务器连通性。
    • 若测试成功,点击下一步按钮,继续设置其他参数。
    • 若测试失败,请参考右上角报错信息修改配置并重新测试,直到测试成功。
  3. 映射规则:设置登录属性以及AD与平台间的用户映射、组织映射
    可参考以下示例输入相应内容:
    • 登录属性(用于AD认证):指定用于平台登录的AD用户属性

      例如:若使用cn作为登录属性,AD用户可使用cn相应的value(例如:xiaoming)作为平台登录名。

    • 用户映射规则:选择或输入AD用户与平台用户之间的映射关系,需要设置以下参数:
      • 用户名:设置平台用户的用户名与AD用户的用户名映射关系

        例如:若用户名映射cn,平台创建用户的用户名将使用cn相应的value(例如:xiaoming)。

        说明: ZStack Cloud平台中用户的用户名不能重复,若同步AD用户与平台原有用户名重复,系统将自动为同步过来AD用户的用户名增加随机码。
      • 姓名:设置平台用户的姓名与AD用户的姓名映射关系

        例如:若姓名映射name,平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置平台用户的手机号与AD用户的手机号映射关系

        例如:若手机号映射telephoneNumber,平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置平台用户的邮箱与AD用户的邮箱映射关系

        例如:若邮箱映射mail,平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置平台用户的编号与AD用户的编号映射关系

        例如:若编号映射employeeID,平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置平台用户的简介与AD用户的简介映射关系

        例如:若简介映射description,平台创建用户的简介将使用description相应的value(例如:开发部-小明)。

      • 自定义属性:自定义用户映射属性,需要设置以下参数:
        • 系统用户属性:设置系统用户属性,可与原有属性重复,例如:工号
        • AD/LDAP用户属性:设置AD用户属性,例如:employeeID
    • 同步组织映射:选择是否同步映射组织,默认不勾选;勾选后,同时将用户基本DN范围内的AD组织同步到平台组织列表
      • 映射组织方式:选择映射组织方式,用于划分AD中的用户账号
        • Group:通过Group参数区分组织架构树的子节点,将AD组织同步到平台组织列表(推荐);
        • OU:通过OU参数区分组织架构树的子节点,将AD组织同步到平台组织列表。
      • 组织映射关系:按照Group或OU方式,将用户基本DN范围内的AD组织同步到平台组织列表,需要设置以下参数:
        • 名称:设置平台组织的组织名称与AD组织的组织名称映射关系

          例如:若组织名称映射cn,平台创建组织的组织名称将使用cn相应的value(例如:开发部)。

        • 简介:可选项,设置平台组织的组织简介与AD组织的组织简介映射关系

          例如:若组织简介映射description,平台创建组织的组织简介将使用description相应的value(例如:开发部-后端)

    图2所示:


    图2 映射规则
    点击下一步按钮,系统将自动测试登录属性、用户映射、组织映射是否可以建立,成功后,自动添加映射规则。
    说明: 填写AD映射参数对应的值不能为空,否则可能导致测试失败。若测试失败,请根据报错信息修改后重新点击下一步按钮,直到测试并添加映射规则成功。
  4. 确认提交:查看将要添加AD服务器的相关信息,支持跳转修改
    图3所示:


    图3 确认提交

    点击确定按钮,将根据设置的配置添加AD服务器,并创建统一认证用户、添加组织架构。

添加LDAP服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择LDAP服务器
  2. 配置LDAP服务器:设置LDAP服务器相关的基本信息和配置信息。
    可参考以下示例输入相应内容:
    • 基本信息:配置用于添加LDAP服务器的基本信息,需要设置以下参数:
      • 类型:已选择LDAP
      • 名称:自定义LDAP服务器名称
      • 简介:可选项,设置备注信息或简介信息
      • 主服务器IP/域:输入主LDAP服务器IP地址或域
      • SSL/TLS加密:选择是否开启SSL/TLS加密,默认开启
        • 勾选表示使用SSL/TLS加密,此方式默认使用636端口,支持自定义修改。
        • 勾选后,平台访问LDAP认证服务器时默认会检查SSL证书,支持通过全局设置SSL证书检查开关设置是否跳过检查。
        • 不勾选表示不使用任何加密方式,此方式默认使用389端口,支持自定义修改。
      • 主服务器端口:输入主LDAP服务器对应的端口
      • 备服务器IP/域:可选项,输入备LDAP服务器IP地址
      • 备服务器端口:可选项,输入备LDAP服务器对应的端口
    • 配置信息:配置同步LDAP用户范围相关配置信息,需要设置以下参数:
      • 基本DN:输入基本DN,用于检索LDAP用户的根节点,规定同步LDAP用户的范围
      • 用户DN:输入用户DN,拥有查询基本DN范围内所有用户权限的特殊用户,用于登录LDAP服务器并获取相关数据
      • 过滤策略:选择是否在同步用户信息时进行过滤,默认不过滤。若打开开关,可配置过滤机制与过滤规则
        • 过滤机制:支持黑名单和白名单两种过滤机制
          • 若选择黑名单,同步用户信息时,过滤规则中配置的用户信息将不会同步至平台。
          • 若选择白名单,同步用户信息时,只有在过滤规则中配置的用户信息才会同步至平台。
        • 过滤规则:用于过滤基本DN中的用户
          说明:
          • 过滤规则输入长度受LDAP服务器配置限制,超出限制可能导致过滤规则不生效,请提前确认。
          • 过滤规则输入语法与LDAP过滤语法一致,详情请参考微软官方链接
          • 例如:若过滤机制选择黑名单,过滤规则设置为(&(name=filterName)(description=departure)),表示过滤基本DN中name=filterName且description=departure的用户。
    图4所示:


    图4 配置LDAP服务器
    LDAP服务器配置完成后,点击下一步按钮,自动测试连接并进入下一步,或点击测试连接按钮,检测配置正确性以及LDAP服务器连通性。
    • 若测试成功,点击下一步按钮,继续设置其他参数。
    • 若测试失败,请参考右上角报错信息修改配置并重新测试,直到测试成功。
  3. 映射规则:设置登录属性以及LDAP与平台间的用户映射。
    可参考以下示例输入相应内容:
    • 登录属性(用于LDAP认证):指定用于平台登录的LDAP用户属性

      例如:若使用cn作为登录属性,LDAP用户可使用cn相应的value(例如:xiaoming)作为平台登录名。

    • 用户映射:选择或输入LDAP用户与平台用户之间的映射关系,需要设置以下参数:
      • 用户名:设置平台用户的用户名与LDAP用户的用户名映射关系

        例如:若用户名映射cn,平台创建用户的用户名将使用cn相应的value(例如:xiaoming)。

        说明: ZStack Cloud平台中用户的用户名不能重复,若同步LDAP用户与平台原有用户名重复,系统将自动为同步过来LDAP用户的用户名增加随机码。
      • 姓名:设置平台用户的姓名与LDAP用户的姓名映射关系

        例如:若姓名映射cn,平台创建用户的姓名将使用cn相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置平台用户的手机号与LDAP用户的手机号映射关系

        例如:若手机号映射mobile,平台创建用户的手机号将使用mobile相应的value(例如:13800000000)。

      • 邮箱:可选项,设置平台用户的邮箱与LDAP用户的邮箱映射关系

        例如:若邮箱映射mail,平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置平台用户的编号与LDAP用户的编号映射关系

        例如:若编号映射employeeNumber,平台创建用户的编号将使用employeeNumber相应的value(例如:001)。

      • 简介:可选项,设置平台用户的简介与LDAP用户的简介映射关系

        例如:若简介映射description,平台创建用户的简介将使用description相应的value(例如:开发部-小明)。

      • 自定义属性:自定义用户映射属性,需要设置以下参数:
        • 系统用户属性:设置系统用户属性,可与原有属性重复,例如:工号
        • AD/LDAP用户属性:设置LDAP用户属性,例如:employeeNumber
    图5所示:


    图5 映射规则
    点击下一步按钮,系统将自动测试登录属性、用户映射是否可以建立,成功后,自动添加映射规则。
    说明: 请确保填写LDAP映射参数,否则可能导致测试失败。若测试失败,请根据右上报错信息修改后重新点击下一步按钮,直到测试并添加映射规则成功。
  4. 确认提交:查看将要添加LDAP服务器的相关信息,支持跳转修改
    图6所示:


    图6 确认提交

    点击确定按钮,将根据设置的配置添加LDAP服务器,并创建统一认证用户。

添加OIDC服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择OIDC服务器
  2. 配置OIDC服务器:设置OIDC服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:设置统一认证服务器名称
    • 简介:可选项,可留空不填
    • 类型:已选择OIDC
    • 认证供应商:负责收集、存储用户身份信息,如用户名、密码等,在用户登陆时负责认证用户的服务。支持标准协议、正方单点登录SSO、阿里IDaaS(私有化)、MaxKey单点登录SSO四种认证供应商
    • Redirect URL:用于认证服务器认证通过后,重定向至平台的URL
    • Redirect Template:平台系统内部实现免密登录的重定向模板。若平台配置了反向代理,需修改此参数的IP地址及端口
    • 配置信息:配置平台与OIDC认证服务器对接所需信息,需要设置以下参数:
      • Client ID:认证系统为平台分配的唯一标识符
      • Client Secret:认证系统为平台分配的密钥
      • Scope:用于指定请求访问令牌或ID令牌时,获取的用户属性范围,如用户名(name)、电子邮件地址(email)、电话号码(phone)等。指定Scope后,返回的令牌将包含对应属性
      • Authorization Request URL:授权码(Authorization Code)模式下,用于获取授权许可的请求 URL
      • Token Request URL:从认证服务器获取访问 Token(Access Token)的请求URL
      • Userinfo Request URL:从认证服务器获取用户信息的请求URL
      • Logout URL: 用于平台退出登录后调用 Logout URL 注销会话,下一次登录平台时需重新登录统一认证系统。若留空不填,则平台退出登录后不会立即清理登录信息,会话有效期内仍可再次免密登录平台
    图7所示:


    图7 配置OIDC服务器
  3. 映射规则:设置OIDC认证服务器用户与平台间的用户映射
    可参考以下示例输入相应内容:
    • 用户映射规则:统一认证用户同步至平台后,将具备平台属性。映射规则用于建立统一认证属性与平台属性之间的映射关系
      • 用户名:设置平台用户的用户名与OIDC认证服务器中用户某一属性的映射关系。用户名在平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性

        例如:若用户名映射username,则同步至平台的用户的用户名将使用username相应的value(例如:xiaoming)

      • 姓名:设置平台用户的姓名与OIDC认证服务器中用户某一属性的映射关系

        例如:若姓名映射name,平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置平台用户的手机号与OIDC认证服务器中用户某一属性的映射关系

        例如:若手机号映射telephoneNumber,平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置平台用户的邮箱与OIDC认证服务器中用户某一属性的映射关系

        例如:若邮箱映射mail,平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置平台用户的编号与OIDC认证服务器中用户某一属性的映射关系

        例如:若编号映射employeeID,平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置平台用户的简介与OIDC认证服务器中用户某一属性的映射关系

        例如:若用户简介映射description,平台创建用户的简介将使用description相应的value(例如:开发部-后端)

      • 成员组:可选项,设置平台成员组与统一认证服务器中成员组的映射关系。

        例如:若成员组映射usergroup,平台创建的成员组将使用usergroup相应的value(例如:group1、group2).

        说明: 若平台已存在多个同名成员组,统一认证用户免密登录后,将同时加入这些同名成员组。若不希望用户加入多个成员组,可修改成员组名称或删除多余的成员组。
    图8所示:


    图8 映射规则
  4. 确认提交:查看将要添加OIDC服务器的相关信息
    图9所示:


    图9 确认提交

    点击确定按钮,将根据设置的配置添加OIDC服务器,并同步统一认证用户信息。

添加OAuth2服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择OAuth2服务器
  2. 配置OAuth2服务器:设置OAuth2服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:设置统一认证服务器名称
    • 简介:可选项,可留空不填
    • 类型:已选择OAuth2
    • 认证供应商:负责收集、存储用户身份信息,如用户名、密码等,在用户登陆时负责认证用户的服务。支持标准协议、正方单点登录SSO、阿里IDaaS(私有化)、MaxKey单点登录SSO四种认证供应商
    • Redirect URL:用于认证服务器认证通过后,重定向至平台的URL
    • Redirect Template:平台系统内部实现免密登录的重定向模板。若平台配置了反向代理,需修改此参数的IP地址及端口
    • 配置信息:配置平台与OAuth2认证服务器对接所需信息,需要设置以下参数:
      • Client ID:认证系统为平台分配的唯一标识符
      • Client Secret:认证系统为平台分配的密钥
      • Scope:用于指定请求访问令牌或ID令牌时,获取的用户属性范围,如用户名(name)、电子邮件地址(email)、电话号码(phone)等。指定Scope后,返回的令牌将包含对应属性
      • Authorization Request URL:授权码(Authorization Code)模式下,用于获取授权许可的请求 URL
      • Token Request URL:从认证服务器获取访问 Token(Access Token)的请求URL
      • Userinfo Request URL:从认证服务器获取用户信息的请求URL
      • Logout URL: 用于平台退出登录后调用 Logout URL 注销会话,下一次登录平台时需重新登录统一认证系统。若留空不填,则平台退出登录后不会立即清理登录信息,会话有效期内仍可再次免密登录平台
    图10所示:


    图10 配置OAuth2服务器
  3. 映射规则:设置OAuth2认证服务器用户与平台间的用户映射
    可参考以下示例输入相应内容:
    • 用户映射规则:统一认证用户同步至平台后,将具备平台属性。映射规则用于建立统一认证属性与平台属性之间的映射关系
      • 用户名:设置平台用户的用户名与OAuth2认证服务器中用户某一属性的映射关系。用户名在平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性

        例如:若用户名映射username,则同步至平台的用户的用户名将使用username相应的value(例如:xiaoming)

      • 姓名:设置平台用户的姓名与OAuth2认证服务器中用户某一属性的映射关系

        例如:若姓名映射name,平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置平台用户的手机号与OAuth2用户的手机号映射关系

        例如:若手机号映射telephoneNumber,平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置平台用户的邮箱与OAuth2认证服务器中用户某一属性的映射关系

        例如:若邮箱映射mail,平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置平台用户的编号与OAuth2认证服务器中用户某一属性的映射关系

        例如:若编号映射employeeID,平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置平台用户的简介与OAuth2认证服务器中用户某一属性的映射关系

        例如:若用户简介映射description,平台创建用户的简介将使用description相应的value(例如:开发部-后端)

      • 成员组:可选项,设置平台成员组与统一认证服务器中成员组的映射关系。

        例如:若成员组映射usergroup,平台创建的成员组将使用usergroup相应的value(例如:group1、group2).

        说明: 若平台已存在多个同名成员组,统一认证用户免密登录后,将同时加入这些同名成员组。若不希望用户加入多个成员组,可修改成员组名称或删除多余的成员组。
    图11所示:


    图11 映射规则
  4. 确认提交:查看将要添加OAuth2服务器的相关信息
    图12所示:


    图12 确认提交

    点击确定按钮,将根据设置的配置添加OAuth2服务器,并同步统一认证用户信息。

添加CAS服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择CAS服务器
  2. 配置CAS服务器:设置CAS服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:设置统一认证服务器名称
    • 简介:可选项,可留空不填
    • 类型:已选择CAS
    • 配置信息:配置平台与CAS认证服务器对接所需信息,需要设置以下参数:
      • Server Login URL:CAS认证服务器登录地址,例如,https://sso.cloud.com/login
      • Server Login Prefix:CAS认证服务器地址前缀,例如,https://sso.cloud.com/
    图13所示:


    图13 配置CAS服务器
  3. 映射规则:设置CAS认证服务器用户与平台间的用户映射
    可参考以下示例输入相应内容:
    • 用户映射规则:统一认证用户同步至平台后,将具备平台属性。映射规则用于建立统一认证属性与平台属性之间的映射关系
      • 用户名:设置平台用户的用户名与CAS用户的用户名的映射关系

        例如:若用户名映射username,则同步至平台的用户的用户名将使用username相应的value(例如:xiaoming)

      • 姓名:设置平台用户的姓名与CAS认证服务器中用户某一属性的映射关系。用户名在平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性

        例如:若姓名映射name,平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置平台用户的手机号与CAS认证服务器中用户某一属性的映射关系

        例如:若手机号映射telephoneNumber,平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置平台用户的邮箱与CAS认证服务器中用户某一属性的映射关系

        例如:若邮箱映射mail,平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置平台用户的编号与CAS认证服务器中用户某一属性的映射关系

        例如:若编号映射employeeID,平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置平台用户的简介与CAS认证服务器中用户某一属性的映射关系

        例如:若用户简介映射description,平台创建用户的简介将使用description相应的value(例如:开发部-后端)

    图14所示:


    图14 映射规则
  4. 确认提交:查看将要添加CAS服务器的相关信息
    图15所示:


    图15 确认提交

    点击确定按钮,将根据设置的配置添加CAS服务器,并同步统一认证用户信息。