近日����,ZStack Cloud 4.5.0發(fā)布�,新增支持多種標(biāo)準(zhǔn)單點(diǎn)登錄(SSO)協(xié)議��。云平臺(tái)現(xiàn)可對(duì)接OIDC/OAuth2/CAS三種協(xié)議的統(tǒng)一身份認(rèn)證系統(tǒng)�����,使認(rèn)證系統(tǒng)中的用戶可一鍵免密登錄云平臺(tái)��,大大提高了云平臺(tái)的訪問(wèn)效率和安全等級(jí)����。
ZStack Cloud 單點(diǎn)登錄解決了什么問(wèn)題���?
一般而言�����,為支持業(yè)務(wù)正常運(yùn)轉(zhuǎn),一些企業(yè)會(huì)自行維護(hù)一套身份認(rèn)證系統(tǒng)����。若企業(yè)上云�����,管理員需確保云平臺(tái)中的用戶與身份認(rèn)證系統(tǒng)中的用戶一一對(duì)應(yīng)����,包括身份信息����、角色和權(quán)限等一系列用戶信息�����。若使用非AD/LDAP協(xié)議的身份認(rèn)證系統(tǒng)��,管理員需在云平臺(tái)中逐一創(chuàng)建用戶��,并配置相應(yīng)的角色和權(quán)限,這種方式相對(duì)低效且容易出錯(cuò)���,運(yùn)維成本較高。
單點(diǎn)登錄作為目前較為流行的企業(yè)業(yè)務(wù)整合方案�����,可打通多個(gè)應(yīng)用系統(tǒng)之間的認(rèn)證關(guān)卡�����,用戶只需驗(yàn)證一次就可訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。它類似于游樂(lè)場(chǎng)的“通票”,游客購(gòu)買一張通票���,在入口核驗(yàn)身份后���,即可游玩通票中包含的所有項(xiàng)目����。同理���,單點(diǎn)登錄支持用戶通過(guò)一個(gè)系統(tǒng)驗(yàn)證身份后���,即可通過(guò)該系統(tǒng)免密登錄其他的應(yīng)用系統(tǒng)。
ZStack Cloud 云平臺(tái)在之前版本中已支持對(duì)接AD/LDAP身份認(rèn)證系統(tǒng)�,從4.5.0版本開(kāi)始新增支持多種標(biāo)準(zhǔn)單點(diǎn)登錄(SS0)協(xié)議,您可將相應(yīng)身份認(rèn)證系統(tǒng)(包括:OIDC/OAuth2/CAS協(xié)議認(rèn)證系統(tǒng))對(duì)接云平臺(tái),當(dāng)用戶信息同步至云平臺(tái)后,即可實(shí)現(xiàn)云平臺(tái)單點(diǎn)登錄��。
ZStack Cloud 單點(diǎn)登錄是如何實(shí)現(xiàn)的?
ZStack Cloud 云平臺(tái)與OIDC協(xié)議����、OAuth2協(xié)議和CAS協(xié)議三種身份認(rèn)證系統(tǒng)對(duì)接����、實(shí)現(xiàn)單點(diǎn)登錄的機(jī)制大同小異�,本文以O(shè)IDC協(xié)議授權(quán)碼模式進(jìn)行介紹:
第1步
管理員將 ZStack Cloud 云平臺(tái)免密登錄URL配置至企業(yè)應(yīng)用中心或統(tǒng)一門戶網(wǎng)站后��,身份認(rèn)證系統(tǒng)中的用戶通過(guò)企業(yè)應(yīng)用中心或統(tǒng)一門戶網(wǎng)站訪問(wèn) ZStack Cloud 云平臺(tái);
第2步
ZStack Cloud 云平臺(tái)重定向訪問(wèn)認(rèn)證URI至認(rèn)證系統(tǒng);
第3步
認(rèn)證系統(tǒng)判斷用戶是否已登錄過(guò)認(rèn)證系統(tǒng):
若用戶已登錄過(guò)認(rèn)證系統(tǒng)�,跳過(guò)登錄環(huán)節(jié)至第四步;
若用戶未登錄過(guò)認(rèn)證系統(tǒng),用戶需手動(dòng)登錄;
第4步
認(rèn)證系統(tǒng)將攜帶授權(quán)碼code參數(shù)的認(rèn)證URI重定向至 ZStack Cloud 云平臺(tái);
第5步
ZStack Cloud 云平臺(tái)獲取code參數(shù)��,并攜帶該參數(shù)向認(rèn)證系統(tǒng)發(fā)送請(qǐng)求獲取token;
第6步
認(rèn)證系統(tǒng)返回token;
第7步
ZStack Cloud云平臺(tái)使用JWT 解析token��,獲取用戶的信息:
若用戶已存在,登錄成功;
若用戶不存在�,ZStack Cloud自動(dòng)創(chuàng)建新用戶,登錄成功����。
圖1:?jiǎn)吸c(diǎn)登錄 ZStack Cloud 云平臺(tái)功能原理
ZStack Cloud 單點(diǎn)登錄有哪些優(yōu)勢(shì)?
ZStack Cloud 云平臺(tái)支持標(biāo)準(zhǔn)的單點(diǎn)登錄協(xié)議���,因此����,無(wú)論是企業(yè)購(gòu)買的第三方廠商認(rèn)證系統(tǒng)�,還是自行搭建的開(kāi)源認(rèn)證系統(tǒng),均可快速接入云平臺(tái)。
易用
管理員只需在云平臺(tái)UI界面配置認(rèn)證參數(shù)和用戶映射規(guī)則����,即可對(duì)接認(rèn)證系統(tǒng)��,簡(jiǎn)單易用。
便捷
云平臺(tái)對(duì)接認(rèn)證系統(tǒng)后���,用戶可從管理員配置的統(tǒng)一入口免密登錄云平臺(tái)���。登錄云平臺(tái)時(shí),相關(guān)用戶信息會(huì)自動(dòng)同步至云平臺(tái)�����,省去管理員手動(dòng)配置和維護(hù)的成本����。
安全
用戶所有屬性信息均在認(rèn)證系統(tǒng)中維護(hù)���,云平臺(tái)只存儲(chǔ)與認(rèn)證系統(tǒng)對(duì)接時(shí)映射的屬性信息,不存儲(chǔ)包括登錄密碼在內(nèi)的其他屬性信息����,進(jìn)一步提升系統(tǒng)安全性。若員工離職���,管理員既可在認(rèn)證系統(tǒng)中禁用相應(yīng)用戶�,也可在云平臺(tái)中解綁該用戶的所有角色��,降低惡意攻擊的可能性�����。
此外���,云平臺(tái)會(huì)保存用戶的登錄日志和資源操作日志����,方便管理員快速定位異常用戶,及時(shí)降低風(fēng)險(xiǎn)����。
ZStack Cloud 單點(diǎn)登錄如何配置?
ZStack Cloud 單點(diǎn)登錄配置流程主要分為以下兩步:
1�、配置統(tǒng)一身份認(rèn)證系統(tǒng)
對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng)前,管理員需在認(rèn)證系統(tǒng)中按需配置用戶信息����,并將云平臺(tái)配置為認(rèn)證系統(tǒng)可信客戶端。本文以開(kāi)源Keycloak的OIDC協(xié)議為例介紹如何配置統(tǒng)一身份認(rèn)證系統(tǒng)�����。
添加領(lǐng)域(realm);
圖2:添加領(lǐng)域
添加用戶�����,設(shè)置用戶名和密碼�����,并按需自定義用戶屬性;
圖3:添加用戶
圖4:設(shè)置用戶密碼
圖5:自定義用戶屬性
將云平臺(tái)添加為認(rèn)證系統(tǒng)的可信客戶端;
圖6:云平臺(tái)添加為認(rèn)證系統(tǒng)的可信客戶端
在添加好的云平臺(tái)客戶端中�����,配置需同步至云平臺(tái)的用戶屬性信息。
圖7:配置需同步至云平臺(tái)的用戶屬性信息
2���、對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng)
云平臺(tái)支持通過(guò)企業(yè)管理和子賬戶管理兩個(gè)模塊對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng)��。企業(yè)管理支持OIDC/OAuth2/CAS三種協(xié)議的認(rèn)證系統(tǒng)����,子賬戶管理支持OIDC協(xié)議的認(rèn)證系統(tǒng)��,兩個(gè)模塊均只需配置認(rèn)證參數(shù)和用戶映射規(guī)則即可完成對(duì)接���。本文以企業(yè)管理模塊為例介紹如何對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng):
1)添加第三方認(rèn)證服務(wù)器;
圖8:添加第三方認(rèn)證服務(wù)器
配置用戶映射規(guī)則,配置完成后���,云平臺(tái)將自動(dòng)生成免密登錄URL;
圖9:配置用戶映射規(guī)則
圖10:免密免密登錄URL
將云平臺(tái)圖標(biāo)與單點(diǎn)登錄URL配置到應(yīng)用中心/統(tǒng)一門戶網(wǎng)站中����。第三方用戶點(diǎn)擊云平臺(tái)圖標(biāo)�,即可免密登錄云平臺(tái),使用云平臺(tái)資源�����。同時(shí),用戶信息將同步至云平臺(tái)���。
圖11:配置云平臺(tái)圖標(biāo)與單點(diǎn)登錄URL
圖12:用戶信息同步至云平臺(tái)
總結(jié)
云軸科技(ZStack)作為一家自主創(chuàng)新�����、專注產(chǎn)品化的云計(jì)算公司��,一直秉承著打造好用的云產(chǎn)品�����、降低用戶云計(jì)算使用門檻的理念��。云平臺(tái)單點(diǎn)登錄功能打通了與第三方系統(tǒng)的認(rèn)證關(guān)卡��,通用性強(qiáng)���、簡(jiǎn)單易用,可大大提高云平臺(tái)的訪問(wèn)效率和安全等級(jí)�����。未來(lái)��,ZStack 將堅(jiān)守初心,持續(xù)推出穩(wěn)定����、成熟、好用的云計(jì)算產(chǎn)品��,激發(fā)云計(jì)算的無(wú)限活力!
文章內(nèi)容僅供閱讀��,不構(gòu)成投資建議�����,請(qǐng)謹(jǐn)慎對(duì)待���。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)�。
京公網(wǎng)安備 11010502041587號(hào)