ZStack Logo

ZStack AIOS

使用Authing配置统一认证

完整平台用户手册,包含基础云平台能力与 AIOS 相关章节。

本章节主要以Authing为例,介绍ZStack Cloud以OIDC协议集成统一认证系统的方法。
本场景中的信息基于以下资源或权限要求:
  • 用户拥有Authing控制台的管理员权限。有关更多信息,请参阅Authing官方文档。
  • 用户的ZStack Cloud环境已安装有效的租户管理模块许可证。
  1. 创建Authing的自建应用。
    1. 登录Authing控制台。
    2. 在左侧导航栏中,点击应用 > 自建应用
    3. 自建应用页面,点击创建自建应用


    4. 创建自建应用弹窗中,选择标准 Web 应用,然后输入应用名称和认证地址。


    5. 确认配置信息无误后,点击创建
    创建完成后,可提前关注以下信息,这些信息将在后续步骤“添加并配置统一认证服务器”时使用:
    • 应用配置子页面中的App IDApp Secret服务发现地址字段信息。
    • 协议配置子页面中的OIDC Scope配置字段信息。
  2. 创建Authing的统一认证用户。
    1. 在Authing左侧导航栏中,点击组织机构 > 成员管理
    2. 成员管理页面,点击创建成员


    3. 创建成员弹窗中,设置用户名和密码,然后点击创建


    4. 点击用户名称,进入用户详情页。
    5. 在详情页的用户信息子页面,按需设置用户个人信息,如姓名、邮箱、手机号等。


  3. ZStack Cloud中,添加并配置统一认证服务器。
    1. 登录ZStack Cloud
    2. 在主菜单中,点击运营管理 > 租户管理 > 统一认证SSO > 添加统一认证服务器
    3. 选择服务器类型弹窗中,选择OIDC,然后点击确定
    4. 添加统一认证服务器页面,需完成服务器配置、同步映射规则、确认信息三个步骤。
      1. 对于步骤1:服务器配置,需完成以下操作:
        • 对于认证供应商,选择标准协议
        • 对于Client ID,填入获取到的App ID的值。
        • 对于Client Secret,填入获取到的App Secret的值。
        • 对于Scope,参考获取到的OIDC Scope配置中的字段信息按需填写,例如:openid、profile、username等。
        • 对于Authorization Request URL,填入从服务发现地址中获取到的authorization_endpoint的值,例如:https://ABC.authing.cn/oidc/auth,其中ABC.authing.cn替换为自建应用实际使用的认证地址。
        • 对于Token Request URL,填入从服务发现地址中获取到的token_endpoint的值,例如:https://ABC.authing.cn/oidc/token,其中ABC.authing.cn替换为自建应用实际使用的认证地址。
        • 对于Userinfo Request URL,填入从服务发现地址中获取到的userinfo_endpoint的值,例如:https://ABC.authing.cn/oidc/me,其中ABC.authing.cn替换为自建应用实际使用的认证地址。
        • 对于Logout URL,填入从服务发现地址中获取到的end_session_endpoint的值,例如:https://ABC.authing.cn/oidc/session/end,其中ABC.authing.cn替换为自建应用实际使用的认证地址。
      2. 对于步骤2:同步映射规则,可参考 服务发现地址中的claims_supported字段,按需填写属性映射关系。
      3. 对于步骤3:确认信息,确认配置信息无误后,点击完成
    5. 成功添加统一认证服务器后,复制平台免密登录URL
  4. 配置Authing的自建应用。
    1. 返回Authing控制台。
    2. 调整自建应用的应用配置。
      • 认证配置下,将登录回调URL的值替换为获取到的平台免密登录URL的值,然后点击保存


    3. 调整自建应用的协议配置。
      • 按需调整OIDC协议配置。本场景下仅在返回类型字段中勾选id_token tokenid_token


    4. 调整自建应用的登录控制。
      • 按需调整登录认证方式。本场景下勾选用户名-username+密码的认证方式,然后点击保存


    5. 调整自建应用的访问授权。
      • 应用访问控制下,将授权主体的授权作用的值调整为允许


  5. 为统一认证用户配置角色或加入项目。
    需提前在ZStack Cloud为统一认证用户配置角色或加入项目,否则将无访问资源权限。
    1. 返回ZStack Cloud
    2. 在主菜单中,点击运营管理 > 租户管理 > 用户 > 统一认证用户
    3. 统一认证用户子页面,选择从统一认证系统同步过来的的用户,然后点击操作 > 加入项目
    4. 加入项目弹窗中,选择项目和项目角色,然后点击确定
至此,您已完成统一认证配置。您可在浏览器中输入平台免密登录URL,通过统一认证系统访问ZStack Cloud