ISDP+认证管理

描述

ISDP+认证管理集成ISDP+ OAuth2.0认证服务，用于拉通AppCube应用和ISDP+的单点登录认证。

“ISDP+认证管理应用”依赖“系统参数初始化应用”，在使用“ISDP+认证管理应用”时，需要部署安装“系统参数初始化应用”。“系统参数初始化应用”的使用说明请参见系统参数初始化。

开放能力

ISDP+认证管理为APP资产，提供了单点登录认证能力。

版本对比说明

ISDP+认证管理应用变更说明。

0.1.8版本与0.0.9版本

优化系统参数：部分公共参数使用租户级的系统参数，租户级系统参数依赖系统参数初始化应用预置，系统参数变更如表1所示。

表1 系统参数变更说明
参数	差异说明
变更值的参数
ISDP__isdpPlus_home_page	从“https://ISDP+的域名/one/#/portal/index”变更为“/one/#/portal/index”，使用时拼接域名，该参数后续不需要修改。域名使用租户级系统参数：comm_isdp_page_domain。
删除的参数
ISDP__errorPageUrl_noPermission	优化删除。
ISDP__errorPageUrl_noExistUser	优化删除。
ISDP__redirect_uri	优化删除。
ISDP_Domain_sso	修改为使用租户级系统参数：comm_isdp_openAPI_domain。
ISDP__getBannerPicUrl	优化删除。
ISDP__appid_sso	修改为使用租户级系统参数：comm_isdp_openAPI_clientId和comm_isdp_openAPI_clientSecret。
ISDP__appsecret_sso
ISDP__isdp_rest_token_sso	修改为使用租户级系统参数：comm_isdp_openAPI_tokenUrl。
ISDP__getTenantLogoInfo	优化删除。

优化业务权限凭证：可以通过系统参数初始化应用授予业务权限凭证（SSO_Login、Mobile_SSO）给System Administrator Profile和Anonymous User Profile角色。

0.0.9版本与0.9.x版本，内部优化，不涉及使用的变动。

0.9.0以下版本与0.9.x版本，优化系统参数，系统参数变更如表2所示。

表2 系统参数变更说明
参数	差异说明
变更值的参数
ISDP__check_token_URL	从“https://ISDP+的域名/oauth2/oauth/check_token”变更为“/oauth2/oauth/check_token”，使用时拼接域名，该参数后续不需要修改。
ISDP__token_URL	从“https://ISDP+的域名/oauth2/oauth/token”变更为“/oauth2/oauth/token”，使用时拼接域名，该参数后续不需要修改。
ISDP__logout_url_sso	从“https://ISDP+的域名/oauth2/logout”变更为“/oauth2/logout”，使用时拼接域名，该参数后续不需要修改。
新增的参数
ISDP__appid_sso	新版本新增的参数，配置为对应ISDP+的环境中创建用来订阅OpenAPI的应用ID和令牌；替代老版本需要自己新增的参数client_id_beta和client_secret_beta。
ISDP__appsecret_sso
ISDP__queryTenantName	获取租户名称，固定值，无需修改。 /service/ISDP__oauth2_sso/1.0.1/queryTenantName
ISDP__findPagedOrgListWithDirection_sso	查询(上/下级)组织信息，固定值，无需修改。 /openapi/v1/orgOpen/findPagedOrgListWithDirection
ISDP__serveFile_url	固定值，无需修改。 /openapi/v1/file/serveFile
ISDP__getTenantLogoInfo	获取租户Logo，固定值，无需修改。 /openapi/v1/openReport/getTenantLogoInfo
ISDP__isdp_rest_token_sso	获取ISDP+ token，固定值，无需修改。 /oauth2/oauth/rest_token

如何使用资产

订购并安装部署ISDP+认证管理APP资产到对应的AppCube生产环境。
相关操作请参见如何订购&部署资产。
订购并安装部署系统参数初始化应用资产到对应的AppCube生产环境。
相关操作请参见如何订购&部署资产。

系统参数初始化应用资产的使用和说明请参见系统参数初始化。
创建AppCube上的接入认证。

如果已经有接入认证，可忽略该步骤。

AppCube版本不同，创建AppCube上的接入认证时，分为普通用户和机机用户两种情况。在“OAuth管理”页面，如果页面显示的为机机用户，如图1所示，则请使用机机用户的方法创建OAuth；如果页面显示的为用户，如图2所示，则使用普通用户的方法创建OAuth。
图1 机机用户

 图2 普通用户

以下描述机机用户的方法，普通用户操作类似。
1. 新增OAuth。
  1. 登录AppCube生产环境。
  2. 如图3所示，单击“管理”，选择“系统管理 > OAuth”，进入“OAuth管理”页面。
    图3 进入OAuth管理页面
  3. 单击“新建”，输入名称，授权类型选“客户端模式”，选择用户，如图4所示。
    - 名称：自定义，例如：demotest。
    - 授权类型：固定选择“客户端模式”。
    - 机机用户：选择一个机机用户，当鉴权成功后，将获取和此机机用户相同的权限。
    图4 认证密钥
    如果有机机用户，但是机机用户权限不是System Administrator Profile，单击“用户名”，进入到“用户详情”页面，在“详细信息”区域单击权限对应的，修改权限为System Administrator Profile，单击“保存”。
    
    如果不存在机机用户，请在“管理 > 用户管理 > 用户”页面，单击“新建”，在弹出的“新建用户”页面中新建机机用户。
    其中，用户类型选择“机机用户”，权限为“System Administrator Profile”，其他值根据实际情况配置。
  4. 单击“保存”，在“OAuth管理”页面展示新建的记录，如图5所示。
    图5 OAuth管理列表
  5. 单击新建记录“操作”列的，弹出“警告”对话框，如图6所示。
    图6 警告
  6. 单击“确定”，下载密钥文件到本地，如图7所示，从中获取客户端鉴权ID（client id）和客户端秘钥（client_secret）。
    图7 密钥
创建应用和订阅API。

如果已有应用，可直接使用已有应用订阅OpenAPI。
1. 登录对接的ISDP+环境。
2. 如图8所示，鼠标放置到“集成中心”，选择“集成中心 > 服务集成”，进入服务集成页面。
  图8 进入服务集成
3. 如图9所示，在“服务集成”页面，单击“应用管理”，在弹出的“应用管理”页面，单击“新建”，在弹出的“新增”页面，输入应用名称，例如appcube，单击“保存”，显示应用详情如图10所示。保存生成的应用详情信息，后续需要将应用ID和令牌保存到应用的系统参数中。
  图9 新建应用
  
   图10 应用详情
4. 关闭“应用详情”和“应用管理”页面。
5. 如图11所示，在“服务集成”页面，单击“订阅”，弹出“订阅API”页面。
  图11 订阅
6. 如图12所示，选择新建的demotest应用，订阅ISDP+认证管理APP中使用到的API（findPagedOrgListWithDirection），单击“确定”。
  图12 订阅API

联系对接的ISDP+系统管理员分配单点登录认证凭证（client_id，client_secret）。

如果支持PC端和移动端，需要分别分配PC端和移动端的单点登录认证凭证。

以超级管理员账号登录ISDP+管理员系统（console）（登录地址：https://ISDP+的域名/console#/sysAdmin/home），如图13所示。
图13 ISDP+管理员系统（console）
选择“初始设置 > oauth2集成配置”，进入“oauth2集成配置”页面，如图14所示。
图14 进入oauth2集成配置

单击“新建”，如图15所示，配置oauth2集成信息，配置参数说明请参见表3。

图15 新建配置
点击放大

表3 配置参数说明
参数	配置说明	示例
客户端ID	手动输入客户端ID。	test
授权协议	下拉选择授权协议。	authorization_code,password,refresh_token
跳转地址	手动输入URL格式跳转地址，如有多个地址，请用英文逗号分隔。	-
Token失效时间(s)	手动输入整数，默认Token失效时间12小时。	1200
刷新Token失效时间(s)	手动输入整数，默认刷新Token失效时间30天。	43200

单击“确定”，新建成功后会弹出密钥详情页面，如图16所示。
单击“复制”，可复制密码。
图16 密钥详情

客户端ID和密码，即为分配的单点登录认证凭证（client_id，client_secret）。

配置ISDP+认证管理资产涉及的系统参数。

通过系统参数初始化应用的导入功能修改系统参数，具体操作请参见4。

需要修改的参数如表4所示。

表4 需要修改的参数
参数	配置说明
需要修改的参数说明：以下参数，请根据配置说明修改，粗斜体部分修改实际值。
comm_isdp_openAPI_clientId	【租户级参数】ISDP+的订阅OpenAPI的clientId和ClientSecret。对应ISDP+环境中创建用来订阅OpenAPI的应用ID和令牌。示例：应用ID：XXXXXXXXXXXXXXXX 令牌：********************
comm_isdp_openAPI_clientSecret
comm_isdp_page_domain	【租户级参数】ISDP+的集成页面域名。域名格式：https://域名，如果是IP地址，格式：https://IP地址:端口号。
comm_isdp_openAPI_domain	【租户级参数】ISDP+的调用OpenAPI域名。域名格式：https://域名，如果是IP地址，格式：https://IP地址:端口号。
ISDP__client_id_sso	《SSO单点登录》PC端单点登录使用，配置为在对应ISDP+环境申请的oauth2中的PC端的客户端ID和密码。说明：配置方法，请参见5。
ISDP__client_secret_sso
clientID_sso	《SSO单点登录》移动端单点登录使用，配置为在对应ISDP+环境申请的oauth2中的移动端的客户端ID和密码。说明：配置方法，请参见5。
clientSecret_sso
ISDP__url_trustlist	《SSO单点登录》信任域名，配置为对应AppCube环境的域名和ISDP+的环境域名，地址之间使用;隔开。格式：https://*AppCube域名;https://ISDP+的域名* 说明：ISDP+的域名和AppCube域名请配置为ISDP+和AppCube外网的域名。如果ISDP+没有外网域名，配置为ISDP+的外网IP，格式：https://IP地址:端口号；如果AppCube没有外网域名，配置为AppCube外网的IP，格式：https://IP地址:端口号。
ISDP__authorize_URL	《SSO单点登录》登录鉴权接口地址。格式：https://*ISDP+ 的域名*/oauth2/oauth/authorize 说明：请根据当前登录的ISDP+配置，如果ISDP+为内网登录，配置为内网域名；如果ISDP+为外网登录，配置为ISDP+的外网域名。如果没有域名，ISDP+的域名配置为ISDP+的IP，格式：https://IP地址:端口号/oauth2/oauth/authorize。
ISDP__defult_url	《SSO单点登录》配置为对应AppCube环境的域名。格式：https://*AppCube域名* 说明：请配置为AppCube外网的域名。如果没有外网域名，配置为AppCube外网的IP，格式：https://IP地址:端口号。

将SSO登录页面加入到ISDP+的白名单。
1. 登录AppCube生产环境。
2. 如图17所示，单击“管理”，选择“应用管理 > 应用导航”，找到单点登录应用。
  图17 查找到单点登录应用
3. 如图18所示，单击“操作”列的图标，进入高级页面版本选择。
  图18 进入高级页面版本选择
1. 如图19所示，在“高级页面版本选择”页面，单击“查看页面地址”，可以获取到页面地址，如图20所示，获取到oauthLogin页面地址。
  图19 高级页面版本选择
  
   图20 查看页面地址
2. 以超级管理员账号登录ISDP+管理员系统（console）（登录地址：https://ISDP+的域名/console#/sysAdmin/home），如图21所示。
  图21 ISDP+管理员系统（console）
3. 选择“初始设置 > oauth2集成配置”，进入“oauth2集成配置”页面，如图22所示。
  图22 进入oauth2集成配置
4. 如图22所示，单击分配给PC端的单点登录凭证前的。
  图23 修改
5. 如图24所示，在“修改配置”页面，添加SSO登录页面的地址。
  图24 修改配置