近日,ZStack Cloud 4.5.0發(fā)布,新增支持多種標(biāo)準(zhǔn)單點(diǎn)登錄(SSO)協(xié)議。云平臺(tái)現(xiàn)可對(duì)接OIDC/OAuth2/CAS三種協(xié)議的統(tǒng)一身份認(rèn)證系統(tǒng),使認(rèn)證系統(tǒng)中的用戶可一鍵免密登錄云平臺(tái),大大提高了云平臺(tái)的訪問效率和安全等級(jí)。
ZStack Cloud 單點(diǎn)登錄解決了什么問題?
一般而言,為支持業(yè)務(wù)正常運(yùn)轉(zhuǎn),一些企業(yè)會(huì)自行維護(hù)一套身份認(rèn)證系統(tǒng)。若企業(yè)上云,管理員需確保云平臺(tái)中的用戶與身份認(rèn)證系統(tǒng)中的用戶一一對(duì)應(yīng),包括身份信息、角色和權(quán)限等一系列用戶信息。若使用非AD/LDAP協(xié)議的身份認(rèn)證系統(tǒng),管理員需在云平臺(tái)中逐一創(chuàng)建用戶,并配置相應(yīng)的角色和權(quán)限,這種方式相對(duì)低效且容易出錯(cuò),運(yùn)維成本較高。
單點(diǎn)登錄作為目前較為流行的企業(yè)業(yè)務(wù)整合方案,可打通多個(gè)應(yīng)用系統(tǒng)之間的認(rèn)證關(guān)卡,用戶只需驗(yàn)證一次就可訪問所有相互信任的應(yīng)用系統(tǒng)。它類似于游樂場(chǎng)的“通票”,游客購買一張通票,在入口核驗(yàn)身份后,即可游玩通票中包含的所有項(xiàng)目。同理,單點(diǎn)登錄支持用戶通過一個(gè)系統(tǒng)驗(yàn)證身份后,即可通過該系統(tǒng)免密登錄其他的應(yīng)用系統(tǒng)。
ZStack Cloud 云平臺(tái)在之前版本中已支持對(duì)接AD/LDAP身份認(rèn)證系統(tǒng),從4.5.0版本開始新增支持多種標(biāo)準(zhǔn)單點(diǎn)登錄(SS0)協(xié)議,您可將相應(yīng)身份認(rèn)證系統(tǒng)(包括:OIDC/OAuth2/CAS協(xié)議認(rèn)證系統(tǒng))對(duì)接云平臺(tái),當(dāng)用戶信息同步至云平臺(tái)后,即可實(shí)現(xiàn)云平臺(tái)單點(diǎn)登錄。
ZStack Cloud 單點(diǎn)登錄是如何實(shí)現(xiàn)的?
ZStack Cloud 云平臺(tái)與OIDC協(xié)議、OAuth2協(xié)議和CAS協(xié)議三種身份認(rèn)證系統(tǒng)對(duì)接、實(shí)現(xiàn)單點(diǎn)登錄的機(jī)制大同小異,本文以O(shè)IDC協(xié)議授權(quán)碼模式進(jìn)行介紹:
第1步
管理員將 ZStack Cloud 云平臺(tái)免密登錄URL配置至企業(yè)應(yīng)用中心或統(tǒng)一門戶網(wǎng)站后,身份認(rèn)證系統(tǒng)中的用戶通過企業(yè)應(yīng)用中心或統(tǒng)一門戶網(wǎng)站訪問 ZStack Cloud 云平臺(tái);
第2步
ZStack Cloud 云平臺(tái)重定向訪問認(rèn)證URI至認(rèn)證系統(tǒng);
第3步
認(rèn)證系統(tǒng)判斷用戶是否已登錄過認(rèn)證系統(tǒng):
若用戶已登錄過認(rèn)證系統(tǒng),跳過登錄環(huán)節(jié)至第四步;
若用戶未登錄過認(rèn)證系統(tǒng),用戶需手動(dòng)登錄;
第4步
認(rèn)證系統(tǒng)將攜帶授權(quán)碼code參數(shù)的認(rèn)證URI重定向至 ZStack Cloud 云平臺(tái);
第5步
ZStack Cloud 云平臺(tái)獲取code參數(shù),并攜帶該參數(shù)向認(rèn)證系統(tǒng)發(fā)送請(qǐng)求獲取token;
第6步
認(rèn)證系統(tǒng)返回token;
第7步
ZStack Cloud云平臺(tái)使用JWT 解析token,獲取用戶的信息:
若用戶已存在,登錄成功;
若用戶不存在,ZStack Cloud自動(dòng)創(chuàng)建新用戶,登錄成功。
圖1:?jiǎn)吸c(diǎn)登錄 ZStack Cloud 云平臺(tái)功能原理
ZStack Cloud 單點(diǎn)登錄有哪些優(yōu)勢(shì)?
ZStack Cloud 云平臺(tái)支持標(biāo)準(zhǔn)的單點(diǎn)登錄協(xié)議,因此,無論是企業(yè)購買的第三方廠商認(rèn)證系統(tǒng),還是自行搭建的開源認(rèn)證系統(tǒng),均可快速接入云平臺(tái)。
易用
管理員只需在云平臺(tái)UI界面配置認(rèn)證參數(shù)和用戶映射規(guī)則,即可對(duì)接認(rèn)證系統(tǒng),簡(jiǎn)單易用。
便捷
云平臺(tái)對(duì)接認(rèn)證系統(tǒng)后,用戶可從管理員配置的統(tǒng)一入口免密登錄云平臺(tái)。登錄云平臺(tái)時(shí),相關(guān)用戶信息會(huì)自動(dòng)同步至云平臺(tái),省去管理員手動(dòng)配置和維護(hù)的成本。
安全
用戶所有屬性信息均在認(rèn)證系統(tǒng)中維護(hù),云平臺(tái)只存儲(chǔ)與認(rèn)證系統(tǒng)對(duì)接時(shí)映射的屬性信息,不存儲(chǔ)包括登錄密碼在內(nèi)的其他屬性信息,進(jìn)一步提升系統(tǒng)安全性。若員工離職,管理員既可在認(rèn)證系統(tǒng)中禁用相應(yīng)用戶,也可在云平臺(tái)中解綁該用戶的所有角色,降低惡意攻擊的可能性。
此外,云平臺(tái)會(huì)保存用戶的登錄日志和資源操作日志,方便管理員快速定位異常用戶,及時(shí)降低風(fēng)險(xiǎn)。
ZStack Cloud 單點(diǎn)登錄如何配置?
ZStack Cloud 單點(diǎn)登錄配置流程主要分為以下兩步:
1、配置統(tǒng)一身份認(rèn)證系統(tǒng)
對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng)前,管理員需在認(rèn)證系統(tǒng)中按需配置用戶信息,并將云平臺(tái)配置為認(rèn)證系統(tǒng)可信客戶端。本文以開源Keycloak的OIDC協(xié)議為例介紹如何配置統(tǒng)一身份認(rèn)證系統(tǒng)。
添加領(lǐng)域(realm);
圖2:添加領(lǐng)域
添加用戶,設(shè)置用戶名和密碼,并按需自定義用戶屬性;
圖3:添加用戶
圖4:設(shè)置用戶密碼
圖5:自定義用戶屬性
將云平臺(tái)添加為認(rèn)證系統(tǒng)的可信客戶端;
圖6:云平臺(tái)添加為認(rèn)證系統(tǒng)的可信客戶端
在添加好的云平臺(tái)客戶端中,配置需同步至云平臺(tái)的用戶屬性信息。
圖7:配置需同步至云平臺(tái)的用戶屬性信息
2、對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng)
云平臺(tái)支持通過企業(yè)管理和子賬戶管理兩個(gè)模塊對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng)。企業(yè)管理支持OIDC/OAuth2/CAS三種協(xié)議的認(rèn)證系統(tǒng),子賬戶管理支持OIDC協(xié)議的認(rèn)證系統(tǒng),兩個(gè)模塊均只需配置認(rèn)證參數(shù)和用戶映射規(guī)則即可完成對(duì)接。本文以企業(yè)管理模塊為例介紹如何對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng):
1)添加第三方認(rèn)證服務(wù)器;
圖8:添加第三方認(rèn)證服務(wù)器
配置用戶映射規(guī)則,配置完成后,云平臺(tái)將自動(dòng)生成免密登錄URL;
圖9:配置用戶映射規(guī)則
圖10:免密免密登錄URL
將云平臺(tái)圖標(biāo)與單點(diǎn)登錄URL配置到應(yīng)用中心/統(tǒng)一門戶網(wǎng)站中。第三方用戶點(diǎn)擊云平臺(tái)圖標(biāo),即可免密登錄云平臺(tái),使用云平臺(tái)資源。同時(shí),用戶信息將同步至云平臺(tái)。
圖11:配置云平臺(tái)圖標(biāo)與單點(diǎn)登錄URL
圖12:用戶信息同步至云平臺(tái)
總結(jié)
云軸科技(ZStack)作為一家自主創(chuàng)新、專注產(chǎn)品化的云計(jì)算公司,一直秉承著打造好用的云產(chǎn)品、降低用戶云計(jì)算使用門檻的理念。云平臺(tái)單點(diǎn)登錄功能打通了與第三方系統(tǒng)的認(rèn)證關(guān)卡,通用性強(qiáng)、簡(jiǎn)單易用,可大大提高云平臺(tái)的訪問效率和安全等級(jí)。未來,ZStack 將堅(jiān)守初心,持續(xù)推出穩(wěn)定、成熟、好用的云計(jì)算產(chǎn)品,激發(fā)云計(jì)算的無限活力!
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )