服务介绍
什么是访问控制
访问控制是本平台提供的应用身份管理服务,具备集中式的身份管理、认证和授权能力,保证企业用户通过一个账号即可访问受信任的第三方应用,使最终用户获得更精简更安全的登录体验,同时可节省应用的运维成本。具体包括应用身份管理、授权管理、访问密钥三个功能。
主要功能
应用身份管理
将应用添加至应用身份管理服务后,用户在登录应用时可使用其已拥有的本平台账号对应用进行认证和授权,就像使用支付宝账号可以登录淘宝、闲鱼等应用。本平台支持OAuth2.0、SAML、OIDC多种协议的认证集成。
访问密钥
为平台外用户提供一个密钥,平台外用户可通过密钥访问平台。支持设置密钥有效期。
基本概念
OAuth2.0
OAuth(Open Authorization,开放授权)是一个开放标准的授权协议,OAuth2.0是OAuth的第二个版本。OAuth2.0为用户资源的授权提供了一个安全、开放而又简易的标准,与以往的授权方式不同之处是OAuth2.0的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即用户无需将自己的用户名和密码暴露给第三方,即可使第三方应用获取用户在该平台上的数据,最常见的场景便是现在互联网上的各种使用XXX账号登录。
OIDC
OIDC是OpenID Connect的简称,OIDC=身份认证+ OAuth 2.0。OAuth2.0提供了授权,即基于权限验证是否有权访问某些内容的过程。OIDC在OAuth2.0之上提供了身份验证的能力。
SAML
SAML全称是安全断言标记语言(Security Assertion Markup Language)是一个基于XML的开源标准数据格式。用于在当事方之间交换身份验证和授权数据,尤其是在身份提供者(IDP)和服务提供者(SP)之间交换。SAML的相关概念如下:
- SP(Service Provider): 向用户提供服务的应用。
- IDP(Identity Provide):向SP提供用户身份信息。
- 用户:通过登录IDP获取身份断言,并向SP返回身份断言来使用SP提供的服务。
- 断言 (Assertions) :即信息,断言是在 SAML中用来描述认证的对象,其中包括一个用户在什么时间、以什么方式被认证,同时还可以包括一些扩展信息,比如用户的Email地址和电话等等。
- 绑定 (Binding) :即传输,定义了SAML信息如何使用通信协议进行传输的。例如,HTTP重定向绑定,即声明 SAML信息将通过HTTP重定向消息传输。
- 元数据 (MetaData):SAML协议规定,要让IDP和SP实现单点登录,需要在IDP和SP进行参数配置,主要是交换IDP和SP的Metadata(元数据)信息,例如ID、Web Service的IP地址、所支持的绑定类型以及通信中实用的密钥等等。
权限说明
- 云管理员可以看到平台中所有已添加的应用,其余用户只能看到自己添加的应用,但全平台用户均可以使用本平台账号登录自己或他人添加的应用。
与其他服务的关系
| 服务 | 说明 |
|---|---|
| 服务集成 | 将已完成身份管理对接的应用集成至本平台,使用户无需切换多个访问地址,在同一控制台即可访问所有受信任的应用。 |
操作指导
应用身份管理
添加应用
在顶部导航栏单击[产品与服务/身份与访问管理/应用身份管理]菜单项,进入应用身份管理页面。
单击 添加应用 ,跳转至添加应用页面。
配置基本信息。
参数 说明 协议 认证或授权时使用的协议。应用添加完成后不支持修改。 单击 下一步 ,配置其余参数。对于使用SAML协议的应用,除手动填写参数外也支持通过导入SP元数据文件自动解析参数,单击导入SP应用元数据并上传相关文件即可。
使用OAuth2.0协议/OIDC协议时参数说明如下:
参数 说明 应用访问地址 用户可通过该地址访问第三方应用。 回调地址 当用户使用本平台账号认证授权后,需要跳转回第三方应用,回调地址即用来指定跳转回第三方应用的URL。 使用SAML协议时参数说明如下:
参数 说明 应用访问地址 用户可通过该地址访问第三方应用。 SP Entity ID SP唯一标识,对应SP元数据文件中“entityID”值。 断言消费地址(ACS URL) SP回调地址(断言消费服务地址),对应SP元数据文件中“AssertionConsumerService”的值,即当认证成功后响应返回的地址。 ACS Binding 不同的Binding方式使用不同的通信方式和消息体,当前支持HTTP-Redirect和HTTP-POST两种方式。 AuthnRequestsSigned 默认为否。用来对SAML Request签名进行验证,对应SP元数据文件中“AuthnRequestsSigned”值。 断言签名 默认为否。是否对断言使用IDP的证书签名,对应SP元数据文件中“WantAssertionsSigned”值。 单击 添加 完成操作。
对于使用OAuth2.0协议和OIDC协议的应用,添加成功后会弹出密钥信息,请及时复制或下载。若遗失密钥,可进行“重置密钥”操作获取新的密钥。
- 应用添加完成后,需要将一些必要的配置信息添加到应用相关配置文件中,才能最终实现统一认证授权的效果。这些必要的配置信息可在应用详情页面查看,详细介绍请参见[查看应用详情]章节的内容。
- 配置成功后,即可在登录第三方应用时选择通过本平台登录。用户在使用本平台账号进行登录及授权后,在左侧导航栏中的[授权管理]菜单项中可看到一条对应的已授权应用记录。
查看应用详情
- 在顶部导航栏单击[产品与服务/身份与访问管理/应用身份管理]菜单项,进入应用身份管理页面。
- 单击应用名称链接,进入应用详情页面。
- 对于使用OAuth2.0协议和OIDC协议的应用,支持查看并复制Client ID、Authorization Endpoint、Token Endpoint、Userinfo Endpoint信息,以便配置应用。对于使用SAML协议的应用,支持通过链接下载XML格式的IDP数据文件,以便配置应用。
重置密钥
- 在顶部导航栏单击[产品与服务/身份与访问管理/应用身份管理]菜单项,进入应用身份管理页面。
- 单击应用名称链接,进入应用详情页面。
- 单击 重置密钥 ,弹出重置密钥对话框。
- 复制密钥或单击 下载 将密钥保存至本地。
- 单击 确认 完成操作。
编辑应用
可修改应用的名称、描述、Logo信息。
- 在顶部导航栏单击[产品与服务/身份与访问管理/应用身份管理]菜单项,进入应用身份管理页面。
- 勾选目标应用,单击 编辑 ,弹出编辑应用对话框。
- 修改信息,单击 确认 完成操作。
编辑参数配置
用于修改应用访问地址、回调地址、退出URL。
- 在顶部导航栏单击[产品与服务/身份与访问管理/应用身份管理]菜单项,进入应用身份管理页面。
- 勾选目标应用,单击 编辑参数配置 ,弹出编辑参数配置对话框。
- 修改信息,单击 确认 完成操作。
添加服务集成
将应用集成至本平台后,用户即可在顶部导航栏的[产品与服务]菜单项下看到该服务目录,使用户无需切换多个访问地址,在同一控制台即可访问所有受信任的应用。
- 在顶部导航栏单击[产品与服务/身份与访问管理/应用身份管理]菜单项,进入应用身份管理页面。
- 勾选目标应用,单击 添加服务集成 ,弹出添加服务集成对话框。
- 选择服务的集成方式。外链表示单击服务菜单项后将在新标签页打开服务页面。内嵌表示单击服务菜单项后将在本平台内打开服务页面。
- 单击 确认 完成操作。
删除应用
删除后将无法通过本平台对第三方应用进行身份管理。
- 在顶部导航栏单击[产品与服务/身份与访问管理/应用身份管理]菜单项,进入应用身份管理页面。
- 选择一个或多个目标应用,单击 删除 ,弹出删除应用对话框。
- 单击 删除 完成操作。
授权管理
对于使用OAuth2.0或OIDC协议的应用,在访问时需要为应用授权。“授权管理”用于展示已授权应用的信息,同时支持撤销授权。
撤销授权
撤销授权后再次登录应用时需重新授权。
- 在顶部导航栏单击[产品与服务/身份与访问管理/授权管理]菜单项,进入授权管理页面。
- 选择目标应用,单击 撤销授权 ,弹出撤销授权对话框。
- 单击 撤销授权 完成操作。
访问密钥
平台中的用户均可创建访问密钥,提供给第三方用户(云平台外的用户),用于访问云平台。
创建访问密钥
在顶部导航栏单击[产品与服务/身份与访问管理/访问密钥]菜单项,进入访问密钥管理页面。
单击 创建访问密钥 ,弹出创建访问密钥对话框。
配置参数。
参数 说明 角色 即使用该密钥的第三方用户在本项目承担的角色。仅支持选择与创建者在当前项目中相同的角色。 过期时间 可以为访问密钥设置有效时间,过期后该密钥将无法使用。设置过期时间可增加安全性,请根据实际业务需要选择。 单击 创建 ,弹出密钥创建结果对话框。
复制密钥信息或单击下载将密钥下载至本地。需注意的是,此过程是获取密钥的唯一途径,退出本对话框后将无法再次查看密钥内容。
单击 确认 完成操作。
删除访问密钥
删除后密钥将无法使用。
- 在顶部导航栏单击[产品与服务/身份与访问管理/访问密钥]菜单项,进入访问密钥管理页面。
- 选择一个或多个目标密钥,单击 删除访问密钥 ,弹出删除访问密钥对话框。
- 单击 删除访问密钥 完成操作。
