服务配置
OneAccess支持基于OAuth2、SAML、OIDC、CAS协议的应用对接,同时,提供动态口令服务。当进行应用对接时,可通过服务配置页面查看相应的参数信息。
配置动态口令
动态口令是遵循基于时间的一次性密码(TOTP),通过虚拟Multi-Factor Authentication (MFA) 设备产生。MFA设备可以基于硬件也可以基于软件,OneAccess目前仅支持基于软件的虚拟MFA,虚拟MFA应用程序可以在移动硬件设备(包括智能手机)上运行,非常方便,虚拟MFA是多因素认证方式中的一种。
OneAccess支持动态口令配置,您可以将动态口令参数配置到虚拟MFA设备上,配置方法请参见MFA设备的帮助文档。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 服务配置”。
- 在“服务配置”页面,单击“动态口令配置”,在弹出框中配置如下参数。
表1 参数设置 参数
说明
加密算法
系统默认为HMACSHA1,支持修改。
口令生成位数
系统默认为6位,不支持修改。
口令生成的周期(秒)
系统默认为30秒,不支持修改。
校验时间前后偏移量
系统默认为0,支持修改。
口令生成基准时间
系统默认为GMT标准时间,不支持修改。
是否联合密码启用双因素
默认关闭,当开启后,用户以动态口令方式登录时,需同时输入用户名、密码和动态口令。
- 单击“保存”,动态口令配置完成。
使用动态口令的前提是在应用的登录配置中开启网站或移动应用的动态口令验证码。
配置IDP
当您需要与企业应用建立基于SAML协议的信任关系时,您需要将IDP侧的元数据上传到企业SP服务器上,上传方法请参见SP服务商的帮助文档。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 服务配置”。
- 在“服务配置”页面,单击“IDP配置”,在弹出框中配置如下参数。
表2 IDP服务参数 参数
说明
IDP EntityId
IDP的唯一标识。
SSO URL
单点登录的URL。
IDP 登出URL
全局退出的URL。
IDP 证书
签名证书是一份包含公钥用于验证签名的证书。企业应用通过元数据文件中的签名证书来确认用户访问应用认证过程中断言消息的可信性、完整性。
请求断言时间窗口
默认2分钟。可在下拉框中选择设置时间,范围为1分钟~5分钟。
Session有效期
默认30分钟。取值范围为1~480。
启用请求签名
默认开启。
启用断言签名
默认开启。
启用断言加密
默认开启。
- 单击右上角的“下载IDP元数据”,数据会自动保存,将其上传到企业SP服务器上即可。
- 单击“保存”,配置更新完成。
配置OIDC
当您需要与企业应用建立基于OIDC、OAUTH2协议的信任关系时,您需要通过“OIDC配置”获取集成需要的端口信息。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 服务配置”。
- 在“服务配置”页面,单击“OIDC”,在弹出框中获取如下参数。
参数
说明
认证授权
用户获取应用认证授权的接口,系统默认。
获取Token
获取用户Token的接口,系统默认。
UserInfo
系统默认。
刷新Token
刷新用户Token的接口,系统默认。
- 单击右上角的“OIDC设置”,可以下载OIDC数据。
配置CAS
当您需要与企业应用建立基于CAS协议的信任关系时,您需要通过“CAS配置”查看CAS的服务信息。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 服务配置”。
- 在“服务配置”页面,单击“CAS配置”,在弹出框中查看和编辑如下参数。
表3 配置参数 参数
说明
Server Prefix
系统自动生成,不可编辑。CAS服务地址的前缀。
Login URL
系统自动生成,不可编辑。CAS服务的请求授权地址。
Validate URL V3
系统自动生成,不可编辑。验证票据,推荐使用V3的地址。
Logout URL
系统自动生成,不可编辑。CAS服务的登出地址。
ST有效期
请求授权返回票据的有效期,建议设置为3~15分钟。
- 单击“保存”,配置完成。
配置API认证
当企业需要将开放接口注册到OneAccess平台时,可以查看API配置信息,并与企业应用进行交互。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 服务配置”。
- 在“服务配置”页面,单击“API认证配置”,在弹出框查看如下参数。
参数
说明
签名算法
签名使用的算法,系统默认。
签名公钥
验证签名使用的密钥,系统默认。
加密算法
加密使用的算法,系统默认。
算法密钥
加密算法使用的密钥,单击“重置”可进行设置。
过期时间
access_token、id_token的过期时间,默认为30分钟,支持自定义,最长43200分钟(30天)。
