文档中心API Explorer
ZHEN
文档中心HCI旗舰版用户手册HCI

统一认证SSO

添加统一认证服务器

ZStack Cube 旗舰版主菜单,点击运营管理 > 租户管理 > 人员与权限 > 统一认证SSO,进入统一认证SSO界面,若未添加统一认证服务器,点击添加统一认证服务器,在云平台添加统一认证服务器。

添加统一认证服务器分为以下类型:
  • 添加AD服务器
  • 添加LDAP服务器
  • 添加OIDC服务器 | 其他认证供应商
  • 添加OIDC/OAuh2服务器 | ZStack IAM
  • 添加OAuth2服务器 | 其他认证供应商
  • 添加CAS服务器
  • 添加SAML服务器

添加AD服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择AD服务器
  2. 配置AD服务器:设置AD服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:自定义AD服务器名称
    • 简介:可选项,设置备注信息或简介信息
    • 类型:已选择AD
    • 主服务器IP/域:输入主AD服务器IP地址或域
    • 主服务器端口:输入主AD服务器对应的端口
    • SSL/TLS加密:选择是否开启SSL/TLS加密,默认开启
      • 勾选表示使用SSL/TLS加密,此方式默认使用636端口,支持自定义修改。
      • 不勾选表示不使用任何加密方式,此方式默认使用389端口,支持自定义修改。
    • 备服务器IP/域:可选项,输入备AD服务器IP地址
    • 备服务器端口:可选项,输入备AD服务器对应的端口
    • 配置信息:配置同步AD用户范围相关配置信息,需要设置以下参数:
      • 基本DN:输入基本DN,用于检索AD用户及组织架构的根节点,规定同步AD用户及组织架构的范围
      • 用户DN:输入用户DN,拥有查询基本DN范围内所有用户权限的特殊用户,用于登录AD服务器并获取相关数据
      • 密码:用户DN对应的登录密码
      • 过滤策略:选择是否在同步用户信息时进行过滤,默认不过滤。若打开开关,可配置过滤机制与过滤规则
        • 过滤机制:支持黑名单和白名单两种过滤机制
          • 若选择黑名单,同步用户信息时,过滤规则中配置的用户信息将不会同步至云平台。
          • 若选择白名单,同步用户信息时,只有在过滤规则中配置的用户信息才会同步至云平台。
        • 过滤规则:用于过滤基本DN中的用户
          Note:
          • 过滤规则输入长度受AD服务器配置限制,超出限制可能导致过滤规则不生效,请提前确认。
          • 过滤规则输入语法与AD过滤语法一致,详情请参考微软官方链接
          • 例如:若过滤机制选择黑名单,过滤规则设置为(&(name=filterName)(description=departure)),表示过滤基本DN中name=filterName且description=departure的用户。
    图 1所示:
    图 1. 配置AD服务器


    AD服务器配置完成后,点击下一步按钮,自动测试连接并进入下一步,或点击测试连接按钮,手动检测配置正确性以及AD服务器连通性。
    • 若测试成功,点击下一步按钮,继续设置其他参数。
    • 若测试失败,请参考右上角报错信息修改配置并重新测试,直到测试成功。
  3. 映射规则:设置登录属性以及AD与云平台间的用户映射、组织映射
    可参考以下示例输入相应内容:
    • 登录属性(用于AD认证):指定用于云平台登录的AD用户属性

      例如:若使用cn作为登录属性,AD用户可使用cn相应的value(例如:xiaoming)作为云平台登录名。

    • 用户映射规则:选择或输入AD用户与云平台用户之间的映射关系,需要设置以下参数:
      • 用户名:设置云平台用户的用户名与AD用户的用户名映射关系

        例如:若用户名映射cn,云平台创建用户的用户名将使用cn相应的value(例如:xiaoming)。

        Note: ZStack Cube 旗舰版云平台中用户的用户名不能重复,若同步AD用户与云平台原有用户名重复,系统将自动为同步过来AD用户的用户名增加随机码。
      • 姓名:设置云平台用户的姓名与AD用户的姓名映射关系

        例如:若姓名映射name,云平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置云平台用户的手机号与AD用户的手机号映射关系

        例如:若手机号映射telephoneNumber,云平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置云平台用户的邮箱与AD用户的邮箱映射关系

        例如:若邮箱映射mail,云平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置云平台用户的编号与AD用户的编号映射关系

        例如:若编号映射employeeID,云平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置云平台用户的简介与AD用户的简介映射关系

        例如:若简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-小明)。

      • 自定义属性:自定义用户映射属性,需要设置以下参数:
        • 系统用户属性:设置系统用户属性,可与原有属性重复,例如:工号
        • AD/LDAP用户属性:设置AD用户属性,例如:employeeID
    • 同步组织映射:选择是否同步映射组织,默认不勾选;勾选后,同时将用户基本DN范围内的AD组织同步到云平台组织列表
      • 映射组织方式:选择映射组织方式,用于划分AD中的用户账号
        • Group:通过Group参数区分组织架构树的子节点,将AD组织同步到云平台组织列表(推荐);
        • OU:通过OU参数区分组织架构树的子节点,将AD组织同步到云平台组织列表。
      • 组织映射关系:按照Group或OU方式,将用户基本DN范围内的AD组织同步到云平台组织列表,需要设置以下参数:
        • 名称:设置云平台组织的组织名称与AD组织的组织名称映射关系

          例如:若组织名称映射cn,云平台创建组织的组织名称将使用cn相应的value(例如:开发部)。

        • 简介:可选项,设置云平台组织的组织简介与AD组织的组织简介映射关系

          例如:若组织简介映射description,云平台创建组织的组织简介将使用description相应的value(例如:开发部-后端)

    图 2所示:
    图 2. 映射规则


    点击下一步按钮,系统将自动测试登录属性、用户映射、组织映射是否可以建立,成功后,自动添加映射规则。
    Note: 填写AD映射参数对应的值不能为空,否则可能导致测试失败。若测试失败,请根据报错信息修改后重新点击下一步按钮,直到测试并添加映射规则成功。
  4. 确认提交:查看将要添加AD服务器的相关信息,支持跳转修改
    图 3所示:
    图 3. 确认提交


    点击确定按钮,将根据设置的配置添加AD服务器,并创建统一认证用户、添加组织架构。

添加LDAP服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择LDAP服务器
  2. 配置LDAP服务器:设置LDAP服务器相关的基本信息和配置信息。
    可参考以下示例输入相应内容:
    • 基本信息:配置用于添加LDAP服务器的基本信息,需要设置以下参数:
      • 类型:已选择LDAP
      • 名称:自定义LDAP服务器名称
      • 简介:可选项,设置备注信息或简介信息
      • 主服务器IP/域:输入主LDAP服务器IP地址或域
      • SSL/TLS加密:选择是否开启SSL/TLS加密,默认开启
        • 勾选表示使用SSL/TLS加密,此方式默认使用636端口,支持自定义修改。
        • 勾选后,云平台访问LDAP认证服务器时默认会检查SSL证书,支持通过全局设置SSL证书检查开关设置是否跳过检查。
        • 不勾选表示不使用任何加密方式,此方式默认使用389端口,支持自定义修改。
      • 主服务器端口:输入主LDAP服务器对应的端口
      • 备服务器IP/域:可选项,输入备LDAP服务器IP地址
      • 备服务器端口:可选项,输入备LDAP服务器对应的端口
    • 配置信息:配置同步LDAP用户范围相关配置信息,需要设置以下参数:
      • 基本DN:输入基本DN,用于检索LDAP用户的根节点,规定同步LDAP用户的范围
      • 用户DN:输入用户DN,拥有查询基本DN范围内所有用户权限的特殊用户,用于登录LDAP服务器并获取相关数据
      • 过滤策略:选择是否在同步用户信息时进行过滤,默认不过滤。若打开开关,可配置过滤机制与过滤规则
        • 过滤机制:支持黑名单和白名单两种过滤机制
          • 若选择黑名单,同步用户信息时,过滤规则中配置的用户信息将不会同步至云平台。
          • 若选择白名单,同步用户信息时,只有在过滤规则中配置的用户信息才会同步至云平台。
        • 过滤规则:用于过滤基本DN中的用户
          Note:
          • 过滤规则输入长度受LDAP服务器配置限制,超出限制可能导致过滤规则不生效,请提前确认。
          • 过滤规则输入语法与LDAP过滤语法一致,详情请参考微软官方链接
          • 例如:若过滤机制选择黑名单,过滤规则设置为(&(name=filterName)(description=departure)),表示过滤基本DN中name=filterName且description=departure的用户。
    图 4所示:
    图 4. 配置LDAP服务器


    LDAP服务器配置完成后,点击下一步按钮,自动测试连接并进入下一步,或点击测试连接按钮,检测配置正确性以及LDAP服务器连通性。
    • 若测试成功,点击下一步按钮,继续设置其他参数。
    • 若测试失败,请参考右上角报错信息修改配置并重新测试,直到测试成功。
  3. 映射规则:设置登录属性以及LDAP与云平台间的用户映射。
    可参考以下示例输入相应内容:
    • 登录属性(用于LDAP认证):指定用于云平台登录的LDAP用户属性

      例如:若使用cn作为登录属性,LDAP用户可使用cn相应的value(例如:xiaoming)作为云平台登录名。

    • 用户映射:选择或输入LDAP用户与云平台用户之间的映射关系,需要设置以下参数:
      • 用户名:设置云平台用户的用户名与LDAP用户的用户名映射关系

        例如:若用户名映射cn,云平台创建用户的用户名将使用cn相应的value(例如:xiaoming)。

        Note: ZStack Cube 旗舰版云平台中用户的用户名不能重复,若同步LDAP用户与云平台原有用户名重复,系统将自动为同步过来LDAP用户的用户名增加随机码。
      • 姓名:设置云平台用户的姓名与LDAP用户的姓名映射关系

        例如:若姓名映射cn,云平台创建用户的姓名将使用cn相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置云平台用户的手机号与LDAP用户的手机号映射关系

        例如:若手机号映射mobile,云平台创建用户的手机号将使用mobile相应的value(例如:13800000000)。

      • 邮箱:可选项,设置云平台用户的邮箱与LDAP用户的邮箱映射关系

        例如:若邮箱映射mail,云平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置云平台用户的编号与LDAP用户的编号映射关系

        例如:若编号映射employeeNumber,云平台创建用户的编号将使用employeeNumber相应的value(例如:001)。

      • 简介:可选项,设置云平台用户的简介与LDAP用户的简介映射关系

        例如:若简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-小明)。

      • 自定义属性:自定义用户映射属性,需要设置以下参数:
        • 系统用户属性:设置系统用户属性,可与原有属性重复,例如:工号
        • AD/LDAP用户属性:设置LDAP用户属性,例如:employeeNumber
    图 5所示:
    图 5. 映射规则


    点击下一步按钮,系统将自动测试登录属性、用户映射是否可以建立,成功后,自动添加映射规则。
    Note: 请确保填写LDAP映射参数,否则可能导致测试失败。若测试失败,请根据右上报错信息修改后重新点击下一步按钮,直到测试并添加映射规则成功。
  4. 确认提交:查看将要添加LDAP服务器的相关信息,支持跳转修改
    图 6所示:
    图 6. 确认提交


    点击确定按钮,将根据设置的配置添加LDAP服务器,并创建统一认证用户。

添加OIDC服务器 | 其他认证供应商

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择OIDC服务器
  2. 配置OIDC服务器:设置OIDC服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:设置统一认证服务器名称
    • 简介:可选项,可留空不填
    • 类型:已选择OIDC
    • 认证供应商:负责收集、存储用户身份信息,如用户名、密码等,在用户登陆时负责认证用户的服务。支持以下认证供应商:标准协议、正方单点登录SSO、阿里IDaaS(私有化)、MaxKey单点登录SSO、以及上传的统一认证SSO类型的插件
    • 云平台API URL:用于认证服务器认证通过后,重定向至云平台的URL
      Note:
      • 若云平台API服务配置了反向代理,此处仅需将URL中的原始地址和端口替换为代理后的地址和端口,注意保留后续参数与路径。
        示例:
        • 原配置:https://192.168.1.100:8080/api/auth/callback
        • 反代后:https://api.example.com:8443/api/auth/callback
      • 此URL需与认证服务器配置的回调地址保持一致。
    • 云平台UI URL:云平台系统内部实现免密登录的重定向模板。
      Note:
      • 若云平台UI地址配置了反向代理,此处仅需将模板中的原始地址和端口替换为代理后的地址和端口,注意保留后续参数与路径。
        示例:
        • 原模板:https://192.168.1.200:80/login/sso?token=<token>
        • 反代后:https://portal.example.com/login/sso?token=<token>
      • 此模板直接影响登录跳转功能,配置错误将导致SSO失败。
    • 配置信息:配置云平台与OIDC认证服务器对接所需信息,需要设置以下参数:
      • Client ID:认证系统为云平台分配的唯一标识符
      • Client Secret:认证系统为云平台分配的密钥
      • Scope:用于指定请求访问令牌或ID令牌时,获取的用户属性范围,如用户名(name)、电子邮件地址(email)、电话号码(phone)等。指定Scope后,返回的令牌将包含对应属性
      • Authorization Request URL:授权码(Authorization Code)模式下,用于获取授权许可的请求 URL
      • Token Request URL:从认证服务器获取访问 Token(Access Token)的请求URL
      • Userinfo Request URL:从认证服务器获取用户信息的请求URL
      • Logout URL: 用于云平台退出登录后调用 Logout URL 注销会话,下一次登录云平台时需重新登录统一认证系统。若留空不填,则云平台退出登录后不会立即清理登录信息,会话有效期内仍可再次免密登录云平台
    图 7所示:
    图 7. 配置OIDC服务器


  3. 映射规则:设置OIDC认证服务器用户与云平台间的用户映射
    可参考以下示例输入相应内容:
    • 用户映射规则:统一认证用户同步至云平台后,将具备云平台属性。映射规则用于建立统一认证属性与云平台属性之间的映射关系
      • 用户名:设置云平台用户的用户名与OIDC认证服务器中用户某一属性的映射关系。用户名在云平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性

        例如:若用户名映射username,则同步至云平台的用户的用户名将使用username相应的value(例如:xiaoming)

      • 姓名:设置云平台用户的姓名与OIDC认证服务器中用户某一属性的映射关系

        例如:若姓名映射name,云平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置云平台用户的手机号与OIDC认证服务器中用户某一属性的映射关系

        例如:若手机号映射telephoneNumber,云平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置云平台用户的邮箱与OIDC认证服务器中用户某一属性的映射关系

        例如:若邮箱映射mail,云平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置云平台用户的编号与OIDC认证服务器中用户某一属性的映射关系

        例如:若编号映射employeeID,云平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置云平台用户的简介与OIDC认证服务器中用户某一属性的映射关系

        例如:若用户简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-后端)

      • 成员组:可选项,设置云平台成员组与统一认证服务器中成员组的映射关系。

        例如:若成员组映射usergroup,云平台创建的成员组将使用usergroup相应的value(例如:group1、group2).

        Note: 若云平台已存在多个同名成员组,统一认证用户免密登录后,将同时加入这些同名成员组。若不希望用户加入多个成员组,可修改成员组名称或删除多余的成员组。
    图 8所示:
    图 8. 映射规则


  4. 确认提交:查看将要添加OIDC服务器的相关信息
    图 9所示:
    图 9. 确认提交


    点击确定按钮,将根据设置的配置添加OIDC服务器,并同步统一认证用户信息。

添加OIDC/OAuth2服务器 | ZStack IAM

  1. 选择服务器类型:此处选择OIDC或OAuth2服务器类型
  2. 可参考以下示例输入相应内容:
    • 名称:设置统一认证服务器名称
    • 简介:可选项,可留空不填
    • 类型:已选择OIDC或OAuth2
    • 认证供应商:选择ZStack IAM
      Note: ZStack IAM专用于多可用区间免密登录。
    • 服务器地址:填写ZStack IAM认证服务器地址。请填写完整URL
图 10所示:
图 10. 添加统一认证服务器 | ZStack IAM


添加OAuth2服务器 | 其他认证供应商

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择OAuth2服务器
  2. 配置OAuth2服务器:设置OAuth2服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:设置统一认证服务器名称
    • 简介:可选项,可留空不填
    • 类型:已选择OAuth2
    • 认证供应商:负责收集、存储用户身份信息,如用户名、密码等,在用户登陆时负责认证用户的服务。支持以下认证供应商:标准协议、正方单点登录SSO、阿里IDaaS(私有化)、MaxKey单点登录SSO、以及上传的统一认证SSO类型的插件
    • 云平台API URL:用于认证服务器认证通过后,重定向至云平台的URL
      Note:
      • 若云平台API服务配置了反向代理,此处仅需将URL中的原始地址和端口替换为代理后的地址和端口,注意保留后续参数与路径。
        示例:
        • 原配置:https://192.168.1.100:8080/api/auth/callback
        • 反代后:https://api.example.com:8443/api/auth/callback
      • 此URL需与认证服务器配置的回调地址保持一致。
    • 云平台UI URL:云平台系统内部实现免密登录的重定向模板。
      Note:
      • 若云平台UI地址配置了反向代理,此处仅需将模板中的原始地址和端口替换为代理后的地址和端口,注意保留后续参数与路径。
        示例:
        • 原模板:https://192.168.1.200:80/login/sso?token=<token>
        • 反代后:https://portal.example.com/login/sso?token=<token>
      • 此模板直接影响登录跳转功能,配置错误将导致SSO失败。
    • 配置信息:配置云平台与OAuth2认证服务器对接所需信息,需要设置以下参数:
      • Client ID:认证系统为云平台分配的唯一标识符
      • Client Secret:认证系统为云平台分配的密钥
      • Scope:用于指定请求访问令牌或ID令牌时,获取的用户属性范围,如用户名(name)、电子邮件地址(email)、电话号码(phone)等。指定Scope后,返回的令牌将包含对应属性
      • Authorization Request URL:授权码(Authorization Code)模式下,用于获取授权许可的请求 URL
      • Token Request URL:从认证服务器获取访问 Token(Access Token)的请求URL
      • Userinfo Request URL:从认证服务器获取用户信息的请求URL
      • Logout URL: 用于云平台退出登录后调用 Logout URL 注销会话,下一次登录云平台时需重新登录统一认证系统。若留空不填,则云平台退出登录后不会立即清理登录信息,会话有效期内仍可再次免密登录云平台
    图 11所示:
    图 11. 配置OAuth2服务器


  3. 映射规则:设置OAuth2认证服务器用户与云平台间的用户映射
    可参考以下示例输入相应内容:
    • 用户映射规则:统一认证用户同步至云平台后,将具备云平台属性。映射规则用于建立统一认证属性与云平台属性之间的映射关系
      • 用户名:设置云平台用户的用户名与OAuth2认证服务器中用户某一属性的映射关系。用户名在云平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性

        例如:若用户名映射username,则同步至云平台的用户的用户名将使用username相应的value(例如:xiaoming)

      • 姓名:设置云平台用户的姓名与OAuth2认证服务器中用户某一属性的映射关系

        例如:若姓名映射name,云平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置云平台用户的手机号与OAuth2用户的手机号映射关系

        例如:若手机号映射telephoneNumber,云平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置云平台用户的邮箱与OAuth2认证服务器中用户某一属性的映射关系

        例如:若邮箱映射mail,云平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置云平台用户的编号与OAuth2认证服务器中用户某一属性的映射关系

        例如:若编号映射employeeID,云平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置云平台用户的简介与OAuth2认证服务器中用户某一属性的映射关系

        例如:若用户简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-后端)

      • 成员组:可选项,设置云平台成员组与统一认证服务器中成员组的映射关系。

        例如:若成员组映射usergroup,云平台创建的成员组将使用usergroup相应的value(例如:group1、group2).

        Note: 若云平台已存在多个同名成员组,统一认证用户免密登录后,将同时加入这些同名成员组。若不希望用户加入多个成员组,可修改成员组名称或删除多余的成员组。
    图 12所示:
    图 12. 映射规则


  4. 确认提交:查看将要添加OAuth2服务器的相关信息
    图 13所示:
    图 13. 确认提交


    点击确定按钮,将根据设置的配置添加OAuth2服务器,并同步统一认证用户信息。

添加CAS服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择CAS服务器
  2. 配置CAS服务器:设置CAS服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:设置统一认证服务器名称
    • 简介:可选项,可留空不填
    • 类型:已选择CAS
    • 配置信息:配置云平台与CAS认证服务器对接所需信息,需要设置以下参数:
      • Server Login URL:CAS认证服务器登录地址,例如,https://sso.cloud.com/login
      • Server Login Prefix:CAS认证服务器地址前缀,例如,https://sso.cloud.com/
      • 云平台API URL :填写云平台 API URL,支持 IP 地址、域名或反向代理地址,请根据实际部署情况填写。默认系统会自动处理。
    图 14所示:
    图 14. 配置CAS服务器


  3. 映射规则:设置CAS认证服务器用户与云平台间的用户映射
    可参考以下示例输入相应内容:
    • 用户映射规则:统一认证用户同步至云平台后,将具备云平台属性。映射规则用于建立统一认证属性与云平台属性之间的映射关系
      • 用户名:设置云平台用户的用户名与CAS用户的用户名的映射关系

        例如:若用户名映射username,则同步至云平台的用户的用户名将使用username相应的value(例如:xiaoming)

      • 姓名:设置云平台用户的姓名与CAS认证服务器中用户某一属性的映射关系。用户名在云平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性

        例如:若姓名映射name,云平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置云平台用户的手机号与CAS认证服务器中用户某一属性的映射关系

        例如:若手机号映射telephoneNumber,云平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置云平台用户的邮箱与CAS认证服务器中用户某一属性的映射关系

        例如:若邮箱映射mail,云平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置云平台用户的编号与CAS认证服务器中用户某一属性的映射关系

        例如:若编号映射employeeID,云平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置云平台用户的简介与CAS认证服务器中用户某一属性的映射关系

        例如:若用户简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-后端)

    图 15所示:
    图 15. 映射规则


  4. 确认提交:查看将要添加CAS服务器的相关信息
    图 16所示:
    图 16. 确认提交


    点击确定按钮,将根据设置的配置添加CAS服务器,并同步统一认证用户信息。

添加SAML服务器

请参考以下示例输入相应内容:
  1. 选择服务器类型:此处选择SAML服务器
  2. 配置SAML服务器:设置SAML服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 名称:设置统一认证服务器名称
    • 简介:可选项,可留空不填
    • 类型:已选择SAML
    • 云平台API URL:用于认证服务器认证通过后,重定向至云平台的URL
      Note:
      • 若云平台API服务配置了反向代理,此处仅需将URL中的原始地址和端口替换为代理后的地址和端口,注意保留后续参数与路径。
        示例:
        • 原配置:https://192.168.1.100:8080/api/auth/callback
        • 反代后:https://api.example.com:8443/api/auth/callback
      • 此URL需与认证服务器配置的回调地址保持一致。
    • 云平台UI URL:云平台系统内部实现免密登录的重定向模板
      Note:
      • 若云平台UI地址配置了反向代理,此处仅需将模板中的原始地址和端口替换为代理后的地址和端口,注意保留后续参数与路径。
        示例:
        • 原模板:https://192.168.1.200:80/login/sso?token=<token>
        • 反代后:https://portal.example.com/login/sso?token=<token>
      • 此模板直接影响登录跳转功能,配置错误将导致SSO失败。
    • 身份提供商元数据:上传从身份提供商侧获取的元数据文件,包含IdP的登录服务地址以及X.509公钥证书,用于验证IdP所颁发的SAML断言的有效性
    图 17所示:
    图 17. 配置SAML服务器


  3. 映射规则:设置SAML认证服务器用户与云平台间的用户映射
    可参考以下示例输入相应内容:
    • 用户映射规则:统一认证用户同步至云平台后,将具备云平台属性。映射规则用于建立统一认证属性与云平台属性之间的映射关系
      • 用户名:设置云平台用户的用户名与SAML认证服务器中用户某一属性的映射关系。用户名在云平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性

        例如:若用户名映射username,则同步至云平台的用户的用户名将使用username相应的value(例如:xiaoming)

      • 姓名:设置云平台用户的姓名与SAML认证服务器中用户某一属性的映射关系

        例如:若姓名映射name,云平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置云平台用户的手机号与SAML认证服务器中用户某一属性的映射关系

        例如:若手机号映射telephoneNumber,云平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置云平台用户的邮箱与SAML认证服务器中用户某一属性的映射关系

        例如:若邮箱映射mail,云平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置云平台用户的编号与SAML认证服务器中用户某一属性的映射关系

        例如:若编号映射employeeID,云平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置云平台用户的简介与SAML认证服务器中用户某一属性的映射关系

        例如:若用户简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-后端)

      • 成员组:可选项,设置云平台成员组与统一认证服务器中成员组的映射关系。

        例如:若成员组映射usergroup,云平台创建的成员组将使用usergroup相应的value(例如:group1、group2).

        Note: 若云平台已存在多个同名成员组,统一认证用户免密登录后,将同时加入这些同名成员组。若不希望用户加入多个成员组,可修改成员组名称或删除多余的成员组。
    图 18所示:
    图 18. 配置映射规则


  4. 确认信息:查看将要添加SAML服务器的相关信息
    图 19所示:
    图 19. 确认信息


  5. 点击完成以添加SAML认证服务器。
  6. 统一认证SSO页面,点击下载获取SAML服务提供商元数据文件,用于在身份提供商 (IdP) 侧配置云平台为可信的 SAML 服务提供商 (SP)。
    图 20所示:
    图 20. 下载SAML服务提供商元数据


管理统一认证服务器

ZStack Cube 旗舰版主菜单,点击运营管理 > 租户管理 > 人员与权限 > 统一认证SSO,进入统一认证SSO界面。

管理AD/LADP认证服务器

AD/LADP认证服务器支持以下操作:
操作 描述
编辑 修改名称和简介。
同步 同步统一认证服务器将重新获取最新用户列表及组织架构。
Note: 同步后不存在的用户将变更为已删除状态并无法登录。
测试连接 检查统一认证服务器的连通性,若连接失败,可能存在以下原因:
  • 统一认证服务器IP端口验证失败,请检查统一认证服务器是否正常工作以及是否有IP或端口变更。
  • 用户DN或密码连接失败,请更换最新拥有查询基本DN范围内所有用户权限的用户DN及密码。
删除 删除添加的统一认证服务器。
Note: 删除统一认证服务器将同时删除同步到云平台的统一认证用户/组织,源统一认证服务器中的用户/组织不受影响。

管理OIDC/OAuth2/CAS/SAML认证服务器

OIDC/OAuth2/CAS/SAML认证服务器支持以下操作:
操作 描述
编辑名称简介 修改名称和简介。
删除 删除添加的统一认证服务器。
Note: 删除统一认证服务器将同时删除同步到云平台的统一认证用户,源统一认证服务器中的用户不受影响。

统一认证配置示例

使用MaxKey配置统一认证

本章节主要以MaxKey为例,介绍ZStack Cube 旗舰版以OAuth2协议集成统一认证系统的方法。

前提条件

本场景中的信息基于以下资源或权限要求:
  • 用户拥有MaxKey统一认证系统的管理员权限。有关更多信息,请参阅MaxKey官方文档。
  • 用户的ZStack Cube 旗舰版环境已安装有效的租户管理模块许可证。

操作步骤

  1. 获取MaxKey编码和应用密钥。
    1. 登录MaxKey统一认证系统。
    2. 在左侧导航栏中,点击应用管理
    3. 应用管理页面,点击新增


    4. 选择弹窗中,选择标准协议 > OAuth2.x,然后点击新增


    5. 复制MaxKey中编码应用密钥字段的值


  2. ZStack Cube 旗舰版中,添加并配置统一认证服务器。
    1. 登录ZStack Cube 旗舰版
    2. 在主菜单中,点击运营管理 > 租户管理 > 统一认证SSO > 添加统一认证服务器
    3. 选择服务器类型弹窗中,选择OAuth2,然后点击确定
    4. 添加统一认证服务器页面,需完成服务器配置、同步映射规则、确认信息三个步骤。
      1. 对于步骤1:服务器配置,需完成以下操作:
        • 对于认证供应商,选择MaxKey单点登录SSO
        • 对于Client ID,填入获取到的编码的值。
        • 对于Client Secret,填入获取到的应用密钥的值。
        • 对于Scope,按需添加获取的用户属性范围,例如:openid、profile。
        • 对于Authorization Request URL,填入http://MaxKey_IP/sign/authz/oauth/V20/authorize,其中MaxKey_IP替换为实际使用的MaKey域名(或IP)。
        • 对于Token Request URL,填入http://MaxKey_IP/sign/authz/oauth/V20/token,其中MaxKey_IP替换为实际使用的MaKey域名(或IP)。
        • 对于Userinfo Request URL,填入http://MaxKey_IP/sign/api/oauth/V20/me,其中MaxKey_IP替换为实际使用的MaKey域名(或IP)。
      2. 对于步骤2:同步映射规则,按需填写本地属性与统一认证属性的映射关系。
      3. 对于步骤3:确认信息,确认配置信息无误后,点击完成
    5. 成功添加统一认证服务器后,复制云平台免密登录URL
  3. 配置MaxKey应用。
    1. 返回MaxKey统一认证系统。
    2. 新增弹窗的基本信息子页面下,配置应用名称、图标、登录地址。
      • 对于登录地址,填入从ZStack Cube 旗舰版获取到的云平台免密登录URL的值。


    3. 新增弹窗的OAuth 2.0配置子页面下,配置以下信息。
      • 对于认证地址,填入从ZStack Cube 旗舰版获取到的云平台免密登录URL的值。
      • 对于授权方式,按需选择参数值。本场景下全选。
      • 对于作用域,按需选择参数值。本场景下全选。


    4. 新增弹窗的扩展信息子页面下,配置以下信息。
      • 对于权限范围,选择所有用户
      • 对于适配,选择启用
      • 对于适配器,选择OAuth 2.0默认适配器


  4. 配置MaxKey权限管理。
    1. 在MaxKey左侧导航栏中,点击权限管理 > 资源权限管理
    2. 资源权限管理页面,配置用户组名称和应用名称。
      • 对于应用名称,选择步骤3中创建的应用,然后点击确定

      选择应用后,界面将显示配置的用户组和应用,点击保存即可。



  5. 配置MaxKey访问控制。
    1. 在MaxKey左侧导航栏中,点击访问控制 > 访问控制
    2. 访问控制页面,新增应用权限。
      1. 对于用户组名称,选择步骤4中添加的用户组。
      2. 然后点击新增,在新增弹窗中,选择步骤3创建的应用。


  6. 为统一认证用户配置角色或加入项目。
    需提前在ZStack Cube 旗舰版为统一认证用户配置角色或加入项目,否则将无访问资源权限。
    1. 返回ZStack Cube 旗舰版
    2. 在主菜单中,点击运营管理 > 租户管理 > 用户 > 统一认证用户
    3. 统一认证用户子页面,选择从统一认证系统同步过来的的用户,然后点击操作 > 加入项目
    4. 加入项目弹窗中,选择项目和项目角色,然后点击确定

后续操作

至此,您已完成统一认证配置。您可在浏览器中输入云平台免密登录URL,通过统一认证系统访问ZStack Cube 旗舰版

使用Authing配置统一认证

本章节主要以Authing为例,介绍ZStack Cube 旗舰版以OIDC协议集成统一认证系统的方法。

前提条件

本场景中的信息基于以下资源或权限要求:
  • 用户拥有Authing控制台的管理员权限。有关更多信息,请参阅Authing官方文档。
  • 用户的ZStack Cube 旗舰版环境已安装有效的租户管理模块许可证。

操作步骤

  1. 创建Authing的自建应用。
    1. 登录Authing控制台。
    2. 在左侧导航栏中,点击应用 > 自建应用
    3. 自建应用页面,点击创建自建应用


    4. 创建自建应用弹窗中,选择标准 Web 应用,然后输入应用名称和认证地址。


    5. 确认配置信息无误后,点击创建
    创建完成后,可提前关注以下信息,这些信息将在后续步骤“添加并配置统一认证服务器”时使用:
    • 应用配置子页面中的App IDApp Secret服务发现地址字段信息。
    • 协议配置子页面中的OIDC Scope配置字段信息。
  2. 创建Authing的统一认证用户。
    1. 在Authing左侧导航栏中,点击组织机构 > 成员管理
    2. 成员管理页面,点击创建成员


    3. 创建成员弹窗中,设置用户名和密码,然后点击创建


    4. 点击用户名称,进入用户详情页。
    5. 在详情页的用户信息子页面,按需设置用户个人信息,如姓名、邮箱、手机号等。


  3. ZStack Cube 旗舰版中,添加并配置统一认证服务器。
    1. 登录ZStack Cube 旗舰版
    2. 在主菜单中,点击运营管理 > 租户管理 > 统一认证SSO > 添加统一认证服务器
    3. 选择服务器类型弹窗中,选择OIDC,然后点击确定
    4. 添加统一认证服务器页面,需完成服务器配置、同步映射规则、确认信息三个步骤。
      1. 对于步骤1:服务器配置,需完成以下操作:
        • 对于认证供应商,选择标准协议
        • 对于Client ID,填入获取到的App ID的值。
        • 对于Client Secret,填入获取到的App Secret的值。
        • 对于Scope,参考获取到的OIDC Scope配置中的字段信息按需填写,例如:openid、profile、username等。
        • 对于Authorization Request URL,填入从服务发现地址中获取到的authorization_endpoint的值,例如:https://ABC.authing.cn/oidc/auth,其中ABC.authing.cn替换为自建应用实际使用的认证地址。
        • 对于Token Request URL,填入从服务发现地址中获取到的token_endpoint的值,例如:https://ABC.authing.cn/oidc/token,其中ABC.authing.cn替换为自建应用实际使用的认证地址。
        • 对于Userinfo Request URL,填入从服务发现地址中获取到的userinfo_endpoint的值,例如:https://ABC.authing.cn/oidc/me,其中ABC.authing.cn替换为自建应用实际使用的认证地址。
        • 对于Logout URL,填入从服务发现地址中获取到的end_session_endpoint的值,例如:https://ABC.authing.cn/oidc/session/end,其中ABC.authing.cn替换为自建应用实际使用的认证地址。
      2. 对于步骤2:同步映射规则,可参考 服务发现地址中的claims_supported字段,按需填写属性映射关系。
      3. 对于步骤3:确认信息,确认配置信息无误后,点击完成
    5. 成功添加统一认证服务器后,复制云平台免密登录URL
  4. 配置Authing的自建应用。
    1. 返回Authing控制台。
    2. 调整自建应用的应用配置。
      • 认证配置下,将登录回调URL的值替换为获取到的云平台免密登录URL的值,然后点击保存


    3. 调整自建应用的协议配置。
      • 按需调整OIDC协议配置。本场景下仅在返回类型字段中勾选id_token tokenid_token


    4. 调整自建应用的登录控制。
      • 按需调整登录认证方式。本场景下勾选用户名-username+密码的认证方式,然后点击保存


    5. 调整自建应用的访问授权。
      • 应用访问控制下,将授权主体的授权作用的值调整为允许


  5. 为统一认证用户配置角色或加入项目。
    需提前在ZStack Cube 旗舰版为统一认证用户配置角色或加入项目,否则将无访问资源权限。
    1. 返回ZStack Cube 旗舰版
    2. 在主菜单中,点击运营管理 > 租户管理 > 用户 > 统一认证用户
    3. 统一认证用户子页面,选择从统一认证系统同步过来的的用户,然后点击操作 > 加入项目
    4. 加入项目弹窗中,选择项目和项目角色,然后点击确定

后续操作

至此,您已完成统一认证配置。您可在浏览器中输入云平台免密登录URL,通过统一认证系统访问ZStack Cube 旗舰版

使用Casdoor配置统一认证

本章节主要以Casdoor为例,介绍ZStack Cube 旗舰版以OIDC协议集成统一认证系统的方法。

前提条件

本场景中的信息基于以下资源或权限要求:
  • 用户拥有Casdoor控制台的管理员权限。有关更多信息,请参阅Casdoor官方文档。
  • 用户的ZStack Cube 旗舰版环境已安装有效的租户管理模块许可证。

操作步骤

  1. 添加Casdoor应用。
    1. 登录Casdoor控制台。
    2. 在顶部导航栏中,点击身份认证 > 应用
    3. 应用页面,点击添加


    4. 添加应用页面,输入名称和显示名称。
      可提前关注客户端ID客户端密钥字段的值,这些信息将在后续步骤“添加并配置统一认证服务器”时使用。


    5. 确认配置信息无误后,点击保存&退出
  2. ZStack Cube 旗舰版中,添加并配置统一认证服务器。
    1. 登录ZStack Cube 旗舰版
    2. 在主菜单中,点击运营管理 > 租户管理 > 统一认证SSO > 添加统一认证服务器
    3. 选择服务器类型弹窗中,选择OIDC,然后点击确定
    4. 添加统一认证服务器页面,需完成服务器配置、同步映射规则、确认信息三个步骤。
      1. 对于步骤1:服务器配置,需完成以下操作:
        • 对于认证供应商,选择标准协议
        • 对于Client ID,填入获取到的客户端ID
        • 对于Client Secret,填入获取到的客户端密钥
        • 对于Scope,按需添加获取的用户属性范围,例如:profile。
        • 对于Authorization Request URL,填入https://door.casdoor.com/login/oauth/authorize,其中door.casdoor.com替换为实际使用的认证地址。
        • 对于Token Request URL,填入https://door.casdoor.com/api/login/oauth/access_token,其中door.casdoor.com替换为实际使用的认证地址。
      2. 对于步骤2:同步映射规则,按需填写本地属性与统一认证属性的映射关系。
      3. 对于步骤3:确认信息,确认配置信息无误后,点击完成
    5. 成功添加统一认证服务器后,复制云平台免密登录URL
  3. 配置Casdoor应用。
    1. 返回Casdoor控制台。
    2. 修改应用的重定向URLs参数,将参数值替换为获取到的云平台免密登录URL的值,然后点击保存&退出


  4. 为统一认证用户配置角色或加入项目。
    需提前在ZStack Cube 旗舰版为统一认证用户配置角色或加入项目,否则将无访问资源权限。
    1. 返回ZStack Cube 旗舰版
    2. 在主菜单中,点击运营管理 > 租户管理 > 用户 > 统一认证用户
    3. 统一认证用户子页面,选择从统一认证系统同步过来的的用户,然后点击操作 > 加入项目
    4. 加入项目弹窗中,选择项目和项目角色,然后点击确定

后续操作

至此,您已完成统一认证配置。您可在浏览器中输入云平台免密登录URL,通过统一认证系统访问ZStack Cube 旗舰版

使用Keycloak配置统一认证

本章节以Keycloak为例,介绍ZStack Cube 旗舰版以OIDC协议集成统一认证系统的方法。

前提条件

本场景中的信息基于以下资源或权限要求:
  • 用户拥有Keycloak控制台的管理员权限。有关更多信息,请参阅Keycloak官方文档。
  • 用户的ZStack Cube 旗舰版环境已安装有效的租户管理模块许可证。

操作步骤

  1. 创建Keycloak客户端。
    1. 登录Keycloak控制台。
    2. 在左侧导航栏中,点击客户端管理
    3. 客户端页面,点击创建客户端


    4. 设置客户端ID,并将客户端类型设置为OpenID Connect
    5. 保存后,点击凭证,记录客户端密码的值,这些信息将在后续步骤“添加并配置统一认证服务器”时使用。
  2. 创建Keycloak群组和用户。
    1. 点击群组管理 > 创建群组,输入群组名称,然后点击创建


    2. 点击用户管理 > 添加用户,输入用户名和其他信息,然后点击加入群组,选择刚刚创建的群组,最后完成创建。


    3. 在用户详情页的证书子页面,点击设置密码


  3. ZStack Cube 旗舰版中,添加并配置统一认证服务器。
    1. 登录ZStack Cube 旗舰版
    2. 在主菜单中,点击运营管理 > 租户管理 > 统一认证SSO > 添加统一认证服务器
    3. 选择服务器类型弹窗中,选择OIDC,然后点击确定
    4. 添加统一认证服务器页面,需完成服务器配置、同步映射规则、确认信息三个步骤。
      1. 对于步骤1:服务器配置,需完成以下操作:
        • 对于认证供应商,选择标准协议
        • 对于Client ID,填入设置的客户端ID。
        • 对于Client Secret,填入从凭证中获取到的客户端密码。
        • 对于Scope,填入从客户端作用域映射子页面中获取到的值,例如:groups。
        • 对于Authorization Request URL,填入从领域设置终端节点中获取到的authorization_endpoint的值,例如:http://172.25.126.217:8000/realms/ZSCloud/protocol/openid-connect/auth,其中http://172.25.126.217:8000/realms/ZSCloud替换为实际使用的领域值。
        • 对于Token Request URL,填入从领域设置终端节点中获取到的token_endpoint的值,例如:http://172.25.126.217:8000/realms/ZSCloud/protocol/openid-connect/token,其中http://172.25.126.217:8000/realms/ZSCloud替换为实际使用的领域值。
        • 对于Userinfo Request URL,填入从领域设置终端节点中获取到的userinfo_endpoint的值,例如:http://172.25.126.217:8000/realms/ZSCloud/protocol/openid-connect/userinfo,其中http://172.25.126.217:8000/realms/ZSCloud替换为实际使用的领域值。
        • 对于Logout URL,填入从领域设置终端节点中获取到的end_session_endpoint的值,例如:http://172.25.126.217:8000/realms/ZSCloud/protocol/openid-connect/logout,其中http://172.25.126.217:8000/realms/ZSCloud替换为实际使用的领域值。
      2. 对于步骤2:同步映射规则,可参考从领域设置终端节点中获取到的claims_supported的值,例如:preferred_username。
      3. 对于步骤3:确认信息,确认配置信息无误后,点击完成
    5. 成功添加统一认证服务器后,复制云平台免密登录URL
  4. 为统一认证用户配置角色或加入项目。
    需提前在ZStack Cube 旗舰版为统一认证用户配置角色或加入项目,否则将无访问资源权限。
    1. 返回ZStack Cube 旗舰版
    2. 在主菜单中,点击运营管理 > 租户管理 > 用户 > 统一认证用户
    3. 统一认证用户子页面,选择从统一认证系统同步过来的的用户,然后点击操作 > 加入项目
    4. 加入项目弹窗中,选择项目和项目角色,然后点击确定

后续操作

至此,您已完成统一认证配置。您可在浏览器中输入云平台免密登录URL,通过统一认证系统访问ZStack Cube 旗舰版
上一篇项目成员API权限下一篇项目