- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
-
用户指南
- 开始使用ROMA Connect
- 实例管理
- 集成应用管理
-
数据源管理
- ROMA Connect支持的数据源
- 接入API数据源
- 接入ActiveMQ数据源
- 接入ArtemisMQ数据源
- 接入DB2数据源
- 接入DIS数据源
- 接入DWS数据源
- 接入DM数据源
- 接入Gauss100数据源
- 接入FTP数据源
- 接入HL7数据源
- 接入HANA数据源
- 接入HIVE数据源
- 接入LDAP数据源
- 接入IBM MQ数据源
- 接入Kafka数据源
- 接入MySQL数据源
- 接入MongoDB数据源
- 接入MQS数据源
- 接入MRS Hive数据源
- 接入MRS HDFS数据源
- 接入MRS HBase数据源
- 接入MRS Kafka数据源
- 接入OBS数据源
- 接入Oracle数据源
- 接入PostgreSQL数据源
- 接入Redis数据源
- 接入RabbitMQ数据源
- 接入RocketMQ数据源
- 接入SAP数据源
- 接入SNMP数据源
- 接入SQL Server数据源
- 接入GaussDB(for MySQL)数据源
- 接入WebSocket数据源
- 接入自定义数据源
- 数据集成指导
- 服务集成指导
- 服务集成指导(旧版界面)
- 消息集成指导
- 设备集成指导
- 应用业务模型使用指导
- 扩大资源配额
- 查看审计日志
- 查看监控指标
- 权限管理
- 用户指南(新版)
- 最佳实践
-
开发指南
- 数据集成开发指导
-
服务集成开发指导
- 开发说明
- API调用认证开发(APP认证)
- API调用认证开发(IAM认证)
-
自定义后端开发(函数后端)
- 函数后端脚本开发说明
- AesUtils类说明
- APIConnectResponse类说明
- Base64Utils类说明
- CacheUtils类说明
- CipherUtils类说明
- ConnectionConfig类说明
- DataSourceClient类说明
- DataSourceConfig类说明
- ExchangeConfig类说明
- HttpClient类说明
- HttpConfig类说明
- JedisConfig类说明
- JSON2XMLHelper类说明
- JSONHelper类说明
- JsonUtils类说明
- JWTUtils类说明
- KafkaConsumer类说明
- KafkaProducer类说明
- KafkaConfig类说明
- MD5Encoder类说明
- Md5Utils类说明
- QueueConfig类说明
- RabbitMqConfig类说明
- RabbitMqProducer类说明
- RedisClient类说明
- RomaWebConfig类说明
- RSAUtils类说明
- SapRfcClient类说明
- SapRfcConfig类说明
- SoapClient类说明
- SoapConfig类说明
- StringUtils类说明
- TextUtils类说明
- XmlUtils类说明
- 自定义后端开发(数据后端)
- 后端服务签名校验开发
- 消息集成开发指导
- 设备集成开发指导
-
API参考
- 使用前必读
- API概览
- 如何调用API
- 公共资源API
- 数据集成API
- 服务集成API
- 消息集成API
- 设备集成API
- 应用示例
- 权限和授权项
- 附录
- 历史API
- 修订记录
- SDK参考
-
常见问题
- 实例管理
-
数据集成
-
数据集成普通任务
- FDI各类数据库支持哪些数据类型?
- 跟踪号是什么,能跟踪到数据吗?
- FDI任务是否支持清空目标表?
- FDI任务只能采集单张表到单张表吗?
- 用户创建的FDI任务,同一账号的其他用户可见吗?
- FDI通过公网对接其他租户的MRS HIVE如何配置?
- 从OBS解析文件到RDS数据库,采集过一次后,后面采集会进行更新吗?
- OBS源端的CSV文件解析到关系型数据库时,列的值不对怎么办?
- MRS Hive目标字段和源端字段数据类型不匹配时,数据是否能集成到目标端?
- MRS Hive、MRS HBase和MongoDB的Mapping映射手动输入时,是否区分大小写?
- MRS Hive是否支持分区?
- 源端API类型数据源自定义周期如何设置?
- SAP是否支持分页读取视图?
- 数据集成组合任务
-
数据集成普通任务
- 服务集成
- 消息集成
- 设备集成
-
故障排除
-
数据集成任务
- MRS Hive目标端写入时出现数据乱码
- MRS Hive写入时数据全部写在第一个字段里
- 目标端任务报任务运行超时
- MySQL到MRS Hive时目标端报“could only be written to 0 of the 1 minReplication nodes. There are 2 datanode(s) running and 2 node(s) are excluded in this operation”错误
- Mysql到Mysql时源端报“Illegal mix of collations for operation 'UNION'”错误
- 源端Mysql增量采集每小时执行一次时部分数据丢失
- API到MySQL时源端报“401 unauthorized”错误
- Kafka集到Mysql目标端报“cannot find record mapping field”错误
- API到MySQL的定时任务时会出现源端报“connect timeout”错误
- Kafka到Mysql的实时任务时,MQS中的Topic下有数据,但是FDI任务没有采集到数据。
- Mysql到Mysql的定时任务,源端有类型为tinyint(1),值为2的字段,但是采集到目标端值就变成了1
- 目标端数据源为公网Kafka时,定时任务目标端报“The task executes failed.Writer data to kafka failed”错误
- 数据集成组合任务
- 数据源
- 服务集成
- 设备集成
-
数据集成任务
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
配置第三方认证策略
ROMA Connect支持通过插件策略的方式,为API提供灵活的扩展能力。第三方认证策略提供调用第三方认证服务的能力,为API的访问进行认证鉴权。用户在调用API时,ROMA Connect先调用第三方认证服务进行认证,认证通过后再继续调用后端服务。
插件策略和API本身相互独立,只有为API绑定插件策略后,插件策略才对API生效。为API绑定插件策略时需指定发布环境,插件策略只对指定环境上的API生效。
约束与限制
用户在调用绑定了第三方认证策略的API时,API会先进行自身的认证鉴权,然后再进行第三方认证鉴权。
创建第三方认证策略
- 登录ROMA Connect控制台,在“实例”页面单击实例上的“查看控制台”,进入实例控制台。
- 在左侧的导航栏选择“服务集成 APIC > API策略”,在“策略管理”页签下单击“创建策略”。
- 在选择策略类型弹窗中选择“插件策略 > 第三方认证”。
- 在配置策略弹窗中配置插件策略信息。
表1 策略配置 参数
说明
策略名称
填写策略的名称,根据规划自定义。建议您按照一定的命名规则填写策略名称,方便您快速识别和查找。
策略类型
固定为“第三方认证”。
可见范围
选择策略的可见范围。
- 集成应用:策略归属某个集成应用,仅拥有该集成应用权限的用户可查看和使用该策略。
- 全局:当前实例的所有用户都可查看和使用该策略。
集成应用
仅当“可见范围”选择“集成应用”时需要配置。
选择策略所属的集成应用。若没有可用的集成应用,可单击右侧的“新建集成应用”,创建一个集成应用。
描述
填写策略的描述信息。
策略内容:支持表单模式和脚本模式两种方式,脚本模式配置请参见脚本配置示例。
负载通道
是否使用负载通道访问第三方鉴权服务。若选择“使用”,您需要提前创建负载通道。
后端URL
配置第三方认证服务的URL。
- 请求方法:选择第三方认证服务的请求方法。
- 请求协议:选择第三方认证服务使用的请求协议,传输重要或敏感数据时推荐使用HTTPS。
- 后端服务地址:仅当“负载通道”选择“不使用”时需要配置。填写第三方认证服务的访问地址,格式为“主机:端口”。主机为第三方认证服务的访问IP或域名,未指定端口时,HTTP协议默认使用80端口,HTTPS协议默认使用443端口。
- 负载通道:仅当“负载通道”选择“使用”时需要配置。选择访问第三方认证服务所使用的负载通道。
- 路径:填写第三方认证服务的请求路径,格式如:/auth。
后端超时 (ms)
第三方认证服务的请求超时时间,默认为5000ms。
自定义host头域
仅当“负载通道”选择“使用”时可配置。
自定义第三方认证服务请求中的Host头域。
防暴力拦截阈值
当5分钟内,同一源IP访问API进行第三方认证失败的次数达到此处配置的阈值时,将触发源IP请求拦截,并在当前统计周期后解除请求拦截。
例如,5分钟内,同一源IP访问API,在第3分钟时第三方认证失败的次数达到此处配置的阈值,触发源IP请求拦截。再过2分钟当前统计周期结束,解除请求拦截。
身份来源
添加API原始请求中用于第三方认证的请求参数,支持添加Header参数和Query参数。身份来源信息为空时,携带API原始请求中的所有请求参数(header参数和query参数)调用第三方认证服务。
宽松模式
开启后,当第三方认证服务不可用(与鉴权服务建立连接失败或者鉴权服务返回5xx响应)时,ROMA Connect仍然接受客户端请求。
允许携带原始请求体
开启后,将携带API原始请求体调用第三方认证服务。
请求体大小(字节)
仅当“允许携带原始请求体”开启时可配置。
调用第三方认证服务的请求体大小。请求体大小不能超过实例允许的最大请求体大小,可在配置参数中查看“request_body_size”参数的设置。
允许携带原始请求路径
开启后,将API原始请求路径拼接到第三方认证服务的调用路径之后,再调用第三方认证服务。
直接返回鉴权响应
开启后,第三方认证鉴权失败时,将直接返回第三方认证服务的响应。
允许携带的响应头部
鉴权成功时,将从第三方认证服务返回的响应头中获取此处配置的响应头信息加到原始请求中,传递到API的后端服务。
简易鉴权模式
开启后,鉴权服务返回状态码“2xx”响应时,即表示认证通过。
鉴权结果匹配
仅当“简易鉴权模式”关闭时可配置。
根据第三方认证服务返回的响应头信息进行校验。如果响应头中存在此处配置的参数名,且参数名对应的参数值一致,则表示认证通过。
黑白名单配置
开启后,如果原始API请求信息匹配黑名单规则将进行第三方认证鉴权,匹配白名单规则将不进行第三方认证鉴权。
规则类型
仅当“黑白名单配置”开启时需配置。
- 白名单规则:如果原始API请求信息匹配白名单规则,将不进行第三方认证鉴权。
- 黑名单规则:如果原始API请求信息匹配黑名单规则,将进行第三方认证鉴权。
定义参数
仅当“黑白名单配置”开启时可配置。
定义用于规则匹配的参数。单击“添加参数”,添加用于规则匹配的参数。
说明:
建议不要设置敏感信息,以防泄露。
- 参数位置:参数在API请求中的位置。
- path:API请求的URI,已默认配置。
- method:API请求方法,已默认配置。
- header:API请求Header参数的第一个值。
- query:API请求Query参数的第一个值。
- system:系统参数。
- 参数:用作规则匹配的参数名。
定义规则
仅当“黑白名单配置”开启时可配置。
自定义黑白名单的匹配规则。单击“添加规则”,可添加规则,系统根据从上到下的顺序匹配规则。
说明:
建议不要设置敏感信息,以防泄露。
定义规则:单击“”编辑匹配条件表达式。若表达式数量大于等于3个,可通过“转子层级”对表达式进行分层设置。
- =:等于
- !=:不等于
- pattern:正则表达式
- enum:枚举值,多个参数值之间用英文逗号分隔
- 单击“确定”,完成插件策略的创建。
插件策略创建后,您还需要为API绑定插件策略,才能使插件策略对API生效。
脚本配置示例
{ "auth_request": { "method": "GET", "protocol": "HTTPS", "url_domain": "10.10.10.10", "timeout": 5000, "path": "/auth", "vpc_channel_enabled": false, "vpc_channel_info": null }, "custom_forbid_limit": 100, "carry_body": { "enabled": true, "max_body_size": 1000 }, "auth_downgrade_enabled": true, "carry_path_enabled": true, "return_resp_body_enabled": false, "carry_resp_headers": [], "simple_auth_mode_enabled": true, "match_auth": null, "rule_enabled": false, "rule_type": "allow" }