ZStack AIOS

使用MaxKey配置统一认证

完整平台用户手册，包含基础云平台能力与 AIOS 相关章节。

本章节主要以MaxKey为例，介绍ZStack Cloud以OAuth2协议集成统一认证系统的方法。

本场景中的信息基于以下资源或权限要求：

用户拥有MaxKey统一认证系统的管理员权限。有关更多信息，请参阅MaxKey官方文档。
用户的ZStack Cloud环境已安装有效的租户管理模块许可证。

获取MaxKey编码和应用密钥。
1. 登录MaxKey统一认证系统。
2. 在左侧导航栏中，点击应用管理。
3. 在应用管理页面，点击新增。
4. 在选择弹窗中，选择标准协议 > OAuth2.x，然后点击新增。
5. 复制MaxKey中编码和应用密钥字段的值
在ZStack Cloud中，添加并配置统一认证服务器。
1. 登录ZStack Cloud。
2. 在主菜单中，点击运营管理 > 租户管理 > 统一认证SSO > 添加统一认证服务器。
3. 在选择服务器类型弹窗中，选择OAuth2，然后点击确定。
4. 在添加统一认证服务器页面，需完成服务器配置、同步映射规则、确认信息三个步骤。
  1. 对于步骤1：服务器配置，需完成以下操作：
    - 对于认证供应商，选择MaxKey单点登录SSO。
    - 对于Client ID，填入获取到的编码的值。
    - 对于Client Secret，填入获取到的应用密钥的值。
    - 对于Scope，按需添加获取的用户属性范围，例如：openid、profile。
    - 对于Authorization Request URL，填入http://MaxKey_IP/sign/authz/oauth/V20/authorize，其中MaxKey_IP替换为实际使用的MaKey域名（或IP）。
    - 对于Token Request URL，填入http://MaxKey_IP/sign/authz/oauth/V20/token，其中MaxKey_IP替换为实际使用的MaKey域名（或IP）。
    - 对于Userinfo Request URL，填入http://MaxKey_IP/sign/api/oauth/V20/me，其中MaxKey_IP替换为实际使用的MaKey域名（或IP）。
  2. 对于步骤2：同步映射规则，按需填写本地属性与统一认证属性的映射关系。
  3. 对于步骤3：确认信息，确认配置信息无误后，点击完成。
5. 成功添加统一认证服务器后，复制平台免密登录URL。
配置MaxKey应用。
1. 返回MaxKey统一认证系统。
2. 在新增弹窗的基本信息子页面下，配置应用名称、图标、登录地址。
  - 对于登录地址，填入从ZStack Cloud获取到的平台免密登录URL的值。
3. 在新增弹窗的OAuth 2.0配置子页面下，配置以下信息。
  - 对于认证地址，填入从ZStack Cloud获取到的平台免密登录URL的值。
  - 对于授权方式，按需选择参数值。本场景下全选。
  - 对于作用域，按需选择参数值。本场景下全选。
4. 在新增弹窗的扩展信息子页面下，配置以下信息。
  - 对于权限范围，选择所有用户。
  - 对于适配，选择启用。
  - 对于适配器，选择OAuth 2.0默认适配器。
配置MaxKey权限管理。
1. 在MaxKey左侧导航栏中，点击权限管理 > 资源权限管理。
2. 在资源权限管理页面，配置用户组名称和应用名称。
  - 对于应用名称，选择步骤3中创建的应用，然后点击确定。
  选择应用后，界面将显示配置的用户组和应用，点击保存即可。
配置MaxKey访问控制。
1. 在MaxKey左侧导航栏中，点击访问控制 > 访问控制。
2. 在访问控制页面，新增应用权限。
  1. 对于用户组名称，选择步骤4中添加的用户组。
  2. 然后点击新增，在新增弹窗中，选择步骤3创建的应用。
为统一认证用户配置角色或加入项目。
需提前在ZStack Cloud为统一认证用户配置角色或加入项目，否则将无访问资源权限。
1. 返回ZStack Cloud。
2. 在主菜单中，点击运营管理 > 租户管理 > 用户 > 统一认证用户。
3. 在统一认证用户子页面，选择从统一认证系统同步过来的的用户，然后点击操作 > 加入项目。
4. 在加入项目弹窗中，选择项目和项目角色，然后点击确定。

至此，您已完成统一认证配置。您可在浏览器中输入平台免密登录URL，通过统一认证系统访问ZStack Cloud。