单点登录至观远BI
概述
观远BI是观远数据提供的数据接入、智能ETL、可视化、大屏、移动BI等一站式解决方案业务,支持通过OAuth协议对接OneAccess系统,实现通过OneAccess单点登录的功能
本文主要介绍OneAccess以OAuth协议集成观远BI的方法。
配置流程
前提条件
- 请确保您已拥有OneAccess管理门户的访问权限。
- 请确保您已拥有观远BI的管理员权限。
在OneAccess中添加企业应用
在OneAccess管理门户中添加企业应用,通过配置认证信息,可以建立OneAccess对企业应用的信任关系。
- 登录OneAccess管理门户。
- 在导航栏中,单击“资源 > 应用”。
- 在企业应用页面,单击自建应用下的“添加自建应用”,设置Logo和名称,单击“保存”。
在OneAccess中配置企业应用
在OneAccess中配置应用的信息,确保用户可以通过OneAccess登录企业应用。包括认证配置、 映射配置、授权用户。
- 认证配置
- 单击在OneAccess中添加企业应用中添加的企业应用,在应用信息页面单击应用图标。
- 在通用信息模块,单击“认证集成”后的
打开认证集成设置,此处选择OAuth协议,单击“保存”。
应用认证集成协议一旦设置不可修改。
图2 设置认证集成协议
- 在通用信息模块,单击“认证集成”后的“配置”,进入“认证集成(OAUTH)”的“参数配置”页签。
图3 配置认证参数
- 在通用信息模块,选择“登录配置 > 网站应用”,单击“编辑”,修改挂接URL为观远登录地址。
图4 配置挂接URL
- 授权用户
选择左侧的“授权管理 > 应用账号”,单击“添加账号”,授权访问应用的账号。如需根据策略给用户授权,请参考配置应用中应用账号的授权策略
- 授权用户
在观远BI中配置OneAccess对接信息
在企业应用中配置OneAccess的授权信息,以建立企业应用对OneAccess的信任。
- 获取OneAccess侧的ClientId和ClientSecret。
单击在OneAccess中添加企业应用中添加的企业应用,在应用信息页面单击应用图标,在应用详情页面获取ClientId和ClientSecret。
- ClientSecret需单击“启用”生成。
- ClientSecret是校验开发者身份的密码,具备高安全性,切勿将其直接提供给第三方开发者或直接存储在代码中。
- 重置后的ClientSecret即时生效,所有使用原ClientSecret的接口将全部失效,请谨慎重置。
- OneAccess不存储ClientSecret,当获取ClientSecret后,请妥善保管。
图5 获取ClientId和ClientSecret
- 获取OneAccess侧的认证信息。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 服务配置”进入服务配置页面。
- 单击“OIDC”。
- 在弹出的OIDC页面,查看认证地址。
- 登录观远BI后台,配置和OneAccess的信任关系,可参考观远帮助文档。
- 登录观远BI后台。
- 选择“管理员设置 > 系统集成 > 单点登录”,选择单点登录方式为:OAuth。
- 编辑OAuth配置后保存。
图6 OAuth配置页面
表1 Oauth配置页面参数 参数
说明
认证协议
OAuth2.0
ClientId
配置1中获取的ClientId。
ClientSecret
配置1中获取的ClientSecret。
身份认证地址
配置2中获取的OneAccess的认证授权地址。
回调地址
官网提供的回调地址,如:${BI 服务地址}/standard-oauth2/authenticate 。
AccessToken获取地址
配置2中获取的OneAccess的获取token地址。
获取用户信息地址
配置2中获取的OneAccess的UserInfo地址,并配置消息类型为Get,添加消息头Authorization,值为Bearer ${accessToken}。
如果不可以编辑消息头,可能是观远BI版本过,请联系观远运维人员进行升级。
用户信息字段路径
从OneAccess中获取的用户信息和观远BI用户绑定的key值,如:$.userName
OneAccess中获取用户信息参数可以在创建的应用“认证集成(OAUTH)”的“映射配置”中获取。
OneAccess用户登录验证
使用授权用户中的已授权用户访问用户门户,成功登录以后,单击观远BI的图标即可进入观远BI。
