添加组织认证源
OrgID支持基于OAuth2、CAS3、SAML、OIDC和AD协议的身份认证,组织创建者或组织管理员可根据需要添加基于OAuth2、CAS3、SAML、OIDC和AD协议的组织认证源,添加成功后还需配置应用信息,确保用户可以通过OAuth2、CAS3、SAML、OIDC和AD登录OrgID用户中心。
添加OAuth2认证源
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问其存储在资源服务器上的信息,而不需要将用户名和密码提供给第三方应用。当前OrgID支持添加2.0版本的OAuth认证源。
- 登录管理中心。
- 选择左侧导航栏的。
- 在组织认证源中,选择“OAuth2”页签,单击“新增认证源”。
- 进入“OAuth2认证源绑定”界面,配置相关参数,参数说明如表1所示。
表1 OAuth2认证源参数说明 参数名称
参数说明
显示名称
认证源的显示名称。如OAuth认证。
认证源图标
显示的认证源图标。必须为JPG、PNG格式,大小不超过20KB,尺寸240*240px。
授权地址
应用的认证授权地址,从待绑定的认证源应用处获取。
Token地址
获取token的地址,从待绑定的认证源应用处获取。
授权范围
授权范围,多值以“,”分隔。
Client ID
应用的接口认证凭证ID,从待绑定的认证源应用处获取。
Client Secret
应用的接口认证凭证密钥,从待绑定的认证源应用处获取。
授权方式
OAuth2支持通过如下方式授权,可根据需要进行选择。
- Authorization Code:授权码方式,指第三方应用先申请一个授权码,然后再用该码获取令牌。是OAuth最常用的授权方式,适用于有后端的Web应用。
- Implicit:隐藏式授权,有些Web应用是纯前端应用,没有后端,这时就不能用Authorization Code方式,必须将令牌储存在前端,允许直接向前端颁发令牌。
- Resource Owner Password Credential:密码式授权,用户把用户名和密码直接告诉该应用,该应用就使用用户的密码申请令牌,适用于其他授权方式都无法采用的情况,而且必须是用户高度信任的应用。
- Client Credential:客户端凭证授权,适用于没有前端的命令行应用,即在命令行下请求令牌。这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。
关联属性
OAuth2认证源对接OrgID的映射属性。支持选择:用户账户名、邮箱、手机号。
绑定属性
待绑定的认证源应用提供的用户属性字段,用于和OrgID的用户属性进行关联。
用户信息地址
获取用户信息的地址,从待绑定的认证源应用处获取。
绑定策略
通过设置绑定策略,设置认证源下的用户是否关联系统用户还是新增用户作为第三方认证用户。支持选择:新增或绑定、绑定、新增。
当选择新增或绑定时,先关联系统用户,如果未关联到系统用户,则新增为第三方认证用户。
认证方式
OAuth2支持通过如下方式进行认证,默认选择client_secret_post。
- basic:客户端使用HTTP Basic发送其客户端密钥。
- client_secret_basic:是将clientId和clientSecret通过“:”拼接,并使用Base64进行编码得到一个字符串。将此编码字符串放到请求头(Authorization)去发送请求。
- post:客户端使用表单参数发送客户端密钥。
- client_secret_post:是将clientId和clientSecret放到请求体(表单)去发送请求。
- client_secret_jwt:利用JWT进行认证,请求方和授权服务器都知道客户端的clientSecret,通过相同的HMAC算法(对称签名算法)去加签和验签JWT 。
- private_key_jwt:利用JWT进行认证,请求方拥有自己的公私钥(密钥对),使用私钥对JWT加签,并将公钥暴露给授权服务器,授权服务器通过请求方的公钥验证JWT。
- none:客户端不在令牌端点上进行身份认证,可能是因为客户端不使用令牌端点,或者使用令牌端点但它是公开客户端。
属性映射
可选项,用于关联OrgID和待绑定的认证源应用的用户属性。单击“添加映射”,在下拉框中选择固定属性或自定义属性。
- 固定属性:将第三方用户属性与系统用户属性做关联,需选择关联属性和映射属性。
- 自定义属性:自定义属性的固定值,需输入属性值和固定值。
添加CAS3认证源
CAS是一个基于HTTP2、HTTP3的协议,要求每个组件都可以通过特定的URL访问应用 。当前OrgID支持添加3.0版本的CAS认证源。通过CAS协议将OrgID作为服务提供商,使第三方应用的用户账号可以通过CAS3协议访问OrgID。
- 登录管理中心。
- 选择左侧导航栏的。
- 在组织认证源中,选择“CAS3”页签,单击“新增认证源”。
- 进入“CAS3认证源绑定”界面,配置相关参数,参数说明如表2所示。
表2 CAS3认证源参数说明 参数名称
参数说明
显示名称
认证源的显示名称。如CAS3认证。
认证源图标
显示的认证源图标。必须为JPG、PNG格式,大小不超过20KB,尺寸240*240px。
登录URL
应用登录完成后的跳转地址,从待绑定的认证源应用处获取。
登出URL
应用退出登录的调用地址,从待绑定的认证源应用处获取。
校验Ticket地址
应用的验证地址,CAS3.0对应的验证地址为:https://xxx.xxx.xxx/p3/serviceValidate。
关联属性
CAS3认证源对接OrgID的映射属性。支持选择:用户账户名、邮箱、手机号。
绑定属性
待绑定的认证源应用提供的用户属性字段,用于和OrgID的用户属性进行关联。
请求类型
http请求发起的方式,支持GET和POST方式。
绑定策略
通过设置绑定策略,设置认证源下的用户是否关联系统用户还是新增用户作为第三方认证用户。支持选择:新增或绑定、绑定、新增。
当选择新增或绑定时,先关联系统用户,如果未关联到系统用户,则新增为第三方认证用户。
属性映射
可选项,用于关联OrgID和待绑定的认证源应用的用户属性。单击“添加映射”,在下拉框中选择固定属性或自定义属性。
- 固定属性:将第三方用户属性与系统用户属性做关联,需选择关联属性和映射属性。
- 自定义属性:自定义属性的固定值,需输入属性值和固定值。
添加SAML认证源
SAML,安全断言标记语言(Security Assertion Markup Language,缩写为SAML)是一个由一组协议组成,用来传输安全声明的XML框架。SAML是由标准化组织OASIS制定的标准,是很多身份提供商(Identity Provider,简称IdP)使用的一种开放标准。OrgID支持基于SAML协议的身份认证,如果您已经有自己的身份认证系统,您可以使用OrgID提供的SAML认证源功能,实现使用身份提供商账号登录OrgID用户中心。
- 登录管理中心。
- 选择左侧导航栏的。
- 在组织认证源中,选择“SAML”页签,单击“新增认证源”。
- 进入“SAML认证源绑定”界面,配置相关参数,参数说明如表3所示。
表3 SAML认证源参数说明 参数名称
参数说明
显示名称
认证源的显示名称。如SAML认证。
认证源图标
显示的认证源图标。必须为JPG、PNG格式,大小不超过20KB,尺寸240*240px。
entityId
对应IdP元数据文件中“entityID”的值。
issuerId
IdP的entityId,可从其IdP metedata文件中获取。
验签证书
IdP的签名证书,可从IdP的元数据文件中获取。
签名证书是一份包含公钥用于验证签名的证书。OrgID通过元数据文件中的签名证书来确认用户身份认证过程中断言消息的可信性、完整性。
请求协议绑定
对应IdP元数据文件中“SingleSignOnService”地址支持的绑定类型。
用户登录过程中发送SAML请求的方式。元数据文件中的“SingleSignOnService”需要支持HTTP Redirect或HTTP POST方式。
登录URL
应用登录完成后的跳转地址,从待绑定的认证源应用处获取。
登出URL
应用退出登录的调用地址,从待绑定的认证源应用处获取。
SAML请求签名
可选项,是否开启SAML请求签名,默认开启。
请求签名算法
请求签名算法,当前仅支持选择RSA-SHA256。
请求摘要算法
请求摘要算法,当前仅支持选择SHA256。
绑定属性
待绑定的认证源应用提供的用户属性字段,用于和OrgID的用户属性进行关联。
绑定策略
通过设置绑定策略,设置认证源下的用户是否关联系统用户还是新增用户作为第三方认证用户。支持选择:新增或绑定、绑定、新增。
当选择新增或绑定时,先关联系统用户,如果未关联到系统用户,则新增为第三方认证用户。
关联属性
SAML认证源对接OrgID的映射属性。支持选择:用户账户名、邮箱、手机号。
属性映射
可选项,用于关联OrgID和待绑定的认证源应用的用户属性。单击“添加映射”,在下拉框中选择固定属性或自定义属性。
- 固定属性:将第三方用户属性与系统用户属性做关联,需选择关联属性和映射属性。
- 自定义属性:自定义属性的固定值,需输入属性值和固定值。
添加OIDC认证源
OIDC是OpenID Connect的简称,是一个基于OAuth 2.0协议的身份认证标准协议。
- 登录管理中心。
- 选择左侧导航栏的。
- 在组织认证源中,选择“OIDC”页签,单击“新增认证源”。
- 进入“OIDC认证源绑定”界面,配置相关参数,参数说明如表4所示。
表4 OIDC认证源参数说明 参数名称
参数说明
显示名称
认证源的显示名称。如OIDC认证。
认证源图标
显示的认证源图标。必须为JPG、PNG格式,大小不超过20KB,尺寸240*240px。
授权地址
应用的认证授权地址,从待绑定的认证源应用处获取。
Token地址
获取token的地址,从待绑定的认证源应用处获取。
授权范围
授权范围,多值以“,”分隔。
Client ID
应用的接口认证凭证ID,从待绑定的认证源应用处获取。
Client Secret
应用的接口认证凭证密钥,从待绑定的认证源应用处获取。
授权方式
支持通过如下方式授权,可根据需要进行选择。
- Authorization Code:授权码方式,指第三方应用先申请一个授权码,然后再用该码获取令牌,适用于有后端的Web应用。
- Implicit:隐藏式授权,有些Web应用是纯前端应用,没有后端,这时就不能用Authorization Code方式,必须将令牌储存在前端,允许直接向前端颁发令牌。
- Resource Owner Password Credential:密码式授权,用户把用户名和密码直接告诉该应用,该应用就使用用户的密码申请令牌,适用于其他授权方式都无法采用的情况,而且必须是用户高度信任的应用。
- Client Credential:客户端凭证授权,适用于没有前端的命令行应用,即在命令行下请求令牌。这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。
关联属性
OIDC认证源对接OrgID的映射属性。支持选择:用户账户名、邮箱、手机号。
绑定属性
待绑定的认证源应用提供的用户属性字段,用于和OrgID的用户属性进行关联。
绑定策略
通过设置绑定策略,设置认证源下的用户是否关联系统用户还是新增用户作为第三方认证用户。支持选择:新增或绑定、绑定、新增。
当选择新增或绑定时,先关联系统用户,如果未关联到系统用户,则新增为第三方认证用户。
Issuer地址
Issuer地址,从待绑定的认证源应用处获取。
JWK Set地址
用于验证token的地址,从待绑定的认证源应用处获取。
用户信息地址
获取用户信息的地址,从待绑定的认证源应用处获取。
应用的全局退出地址
应用的全局退出地址,从待绑定的认证源应用处获取。
属性映射
可选项,用于关联OrgID和待绑定的认证源应用的用户属性。单击“添加映射”,在下拉框中选择固定属性或自定义属性。
- 固定属性:将第三方用户属性与系统用户属性做关联,需选择关联属性和映射属性。
- 自定义属性:自定义属性的固定值,需输入属性值和固定值。
添加AD认证源
AD是Active Directory的简称,即活动目录。您可以将AD简单理解成一个数据库,其存储有关网络对象的信息,方便管理员和用户查找所需信息。为方便企业用户的认证登录,OrgID通过LDAP协议把认证指向AD域,AD通过认证后,根据AD返回的用户属性与OrgID用户关联属性做匹配校验,验证通过即可登录OrgID。
- 登录管理中心。
- 选择左侧导航栏的。
- 在组织认证源中,选择“AD”页签,单击“新增认证源”。
- 进入“AD认证源绑定”界面,配置相关参数,参数说明如表5所示。
表5 AD认证源参数说明 参数名称
参数说明
显示名称
认证源的显示名称。如AD认证。
认证源图标
显示的认证源图标。必须为JPG、PNG格式,大小不超过20KB,尺寸240*240px。
服务器地址
指定AD服务器的地址。格式为ldap://hostname:port或ldaps://hostname:port。
管理员账号
输入具有管理员权限的AD账号。
管理员密码
输入管理员账号的密码。
Base DN
AD中的节点,会到该节点下认证用户。
用户ObjectClass
输入用户对象的对象类别名称,类似于user、person。
用户登录标识
标记登录的用户,登录标识的值与用户登录时的账号部分匹配。
如果以UPN(例如 "abc@examp.com")为账号进行身份验证,则此字段通常必须设置为 userPrincipalName。否则,对于旧的NetBIOS风格的账号(例如 "abc"),则通常设为 sAMAccountName。
关联属性
AD认证源对接OrgID的映射属性。支持选择:用户账户名、邮箱、手机号。
绑定属性
待绑定的认证源应用提供的用户属性字段,用于和OrgID的用户属性进行关联。
绑定策略
通过设置绑定策略,设置认证源下的用户是否关联系统用户还是新增用户作为第三方认证用户。支持选择:新增或绑定、绑定、新增。
当选择新增或绑定时,先关联系统用户,如果未关联到系统用户,则新增为第三方认证用户。
属性映射
可选项,用于关联OrgID和待绑定的认证源应用的用户属性。单击“添加映射”,在下拉框中选择固定属性或自定义属性。
- 固定属性:将第三方用户属性与系统用户属性做关联,需选择关联属性和映射属性。
- 自定义属性:自定义属性的固定值,需输入属性值和固定值。
更多操作
组织认证源添加成功后,您还可以进行以下操作。
|
操作名称 |
操作步骤 |
|---|---|
|
启用/禁用组织认证源 |
开启:组织认证源添加成功后,默认自动开启。 禁用:在“认证管理 > 认证源管理”界面,在组织认证源模块指定认证源的“状态”列,关闭 |
|
更新组织认证源 |
在“认证管理 > 认证源管理”界面,单击操作列的“更新”,进入更新界面,根据所需修改组织认证源参数。 |
|
查看组织认证源详情 |
在“认证管理 > 认证源管理”界面,单击操作列的“查看详情”,进入查看详情界面,查看组织认证源详情。 |
|
删除组织认证源 |
在“认证管理 > 认证源管理”界面,单击操作列的“删除”,在弹出的提示框中,单击“确认”。 删除后,该组织认证源的数据将被删除且不可恢复,请谨慎操作。 |
