SSO认证

单点登录(Single-Sign-On，SSO)，即用户的一次性鉴别登录。当用户在身份认证中心登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个拥有着不同的认证与授权模式应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统，不再需要记忆多个不同的用户名与密码。

单点登录的应用场景为：在一个单位中，需要使用多个功能不同的系统应用，比如企业会有专门的财务系统，销售的CRM系统，人事的OA、邮箱系统，如果每个系统都用独立的账号认证体系，会给员工带来很大困扰，同时不方便管理，所以需要设计一种统一登录的解决方案。

单点登录协议

1.      CAS

系统支持的单点登录协议为CAS（Central Authentication Service，中央认证服务），是为应用提供可信身份认证的单点登录系统，CAS本身没有授权，也没有权限控制功能。

CAS包含两部分：

• CAS Server：CAS Server负责完成对用户的认证工作，需要独立部署，CAS Server会处理用户用户名/密码等凭证。

• CAS Client：负责处理用户对客户端的访问请求，当需要对请求方（即用户）进行身份认证时，会重定向到CAS Server进行认证。

2.      OAuth2.0

OAuth2.0是一个为第三方应用提供统一授权的开放标准协议。系统作为授权服务器，允许其用户作为第三方应用的登录用户使用。

3.      OPENID

需配合QAuth 2.0使用，是一种认证与授权标准，称为OpenID Connect（OIDC）。

• OpenID是Authentication，即认证，对用户的身份进行认证，判断其身份是否有效，也就是让网站知道“你是你所声称的那个用户”。用户要使用OpenID就必须在OpenID身份服务器上注册OpenID账号。

• OAuth是Authorization，即授权，在已知用户身份合法的情况下，经用户授权来允许某些操作，也就是让网站知道“你能被允许做哪些事情”。

OPENID包含三部分：

• OPENID Server：OPENID Server负责完成对用户的认证工作，需要独立部署，OPENID Server会处理用户的用户名/密码等凭证。

• OAuth2.0：在OPENID Server的OAuth2.0协议中对接OPENID Client信息，OAuth2.0将自动为Client生成client id和client secret。

• OPENID Client：负责处理用户对客户端的访问请求，当需要对请求方（即用户）进行身份认证授权时，会重定向到OPENID Server结合client id和client secret进行认证授权。

开启SSO认证

·          开启SSO认证时，若配置错误，则可能导致页面无法登录、用户无法同步，请谨慎操作。 ·          开启SSO认证且选择"CAS"认证协议时，大数据平台仅支持与绿洲平台进行单点登录认证。大数据平台与绿洲平台进行SSO对接认证时，存在两种情况，详情请参见大数据平台与绿洲平台进行SSO对接认证的两种情况。 ·          开启SSO认证时，无论选择CAS、OAuth2.0、OPENID中的哪一协议，大数据平台的时间都要与对接单点登录的平台或系统保持一致，否则会导致对接单点登录失败。 ·          系统开启SSO认证但不开启防火墙时，SSO认证配置完成后大数据平台可直接使用单点登录；系统开启SSO认证并开启防火墙时，SSO认证配置完成后还必须配置白名单，详情请参见开启SSO认证并开启防火墙时的白名单配置。 ·          选择系统是否开启SSO对接认证，若选择开启则表示系统开启单点登录模式，此时密码策略、登录认证策略、系统用户（修改授权除外）等相关配置不再生效；若选择关闭则表示系统不开启单点登录模式，系统模块所有功能均生效。 ·          如果配置错误导致登录页面打不开，可以访问逃生登录路径，进入登录页面后重新配置。逃生登录路径为https://IP-Address/platform/#/login/ssoSkip，IP-Address需替换为Client端的IP，请注意区分大小写。

 

1. 在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

2. 单击页面左上角<配置>按钮，可将SSO对接认证按钮配置为“开启”。

3. 根据使用需求选择认证协议，任选其一即可。包括以下三种：

• 选择“CAS”时（此时大数据平台仅支持与绿洲平台进行单点登录认证），根据提示配置对应参数项的值，如下：

• 绿洲平台CAS校验地址：配置绿洲平台的CAS校验地址，格式为“http://<绿洲平台管理系统内网访问IP>:8089/cas”（8089为绿洲平台的CAS Server默认校验端口号，若端口修改则需要对应修改配置）。

• 绿洲平台CAS登录地址：配置绿洲平台的CAS登录地址，格式为“https://<绿洲平台管理系统外网访问IP>:8086/cas”（8086为绿洲平台的CAS Server默认登录端口号，若端口修改则需要对应修改配置）。

• 绿洲平台用户管理地址：配置绿洲平台用户管理的地址，格式为“http://<绿洲平台管理系统内网访问IP>:32007”（32007为绿洲平台的CAS Server默认端口号，若端口修改则需要对应修改配置）。当绿洲平台开启内外网分离时，该配置项的值必须为内网IP地址。

• 选择“OAuth2.0”时，认证方式为服务魔方（此时大数据平台仅支持与紫鸾平台进行单点登录认证），根据提示配置对应参数项的值，如下：

• client id / client secret：在服务魔方控制台中申请的应用ID及应用密钥。

• 授权URL：进行登录授权的URL地址，在服务魔方控制台中获取。当大数据平台管理系统尚未登录时，会跳转至紫鸾平台登录页面。

• 获取token URL：授权码转换令牌接口，在服务魔方控制台中获取。将回调大数据平台管理系统的回调地址中授权码参数转为用户令牌。

• 用户信息URL：令牌换取用户信息接口，在服务魔方控制台中获取。将用户令牌换取用户信息。

• 大数据平台外网IP和端口：此项是可选。当大数据平台配置EIP（弹性公网IP）或者外网IP映射时，须填写EIP或者外网IP映射地址和大数据平台端口，格式为165.1.2.29或者165.1.2.29:18443。

• 选择“OPENID”时（此时大数据平台可与“支持OPENID认证与授权标准的系统”进行单点登录认证，比如：与CloudOS 5.0进行单点登录认证，大数据平台为OPENID Client端，CloudOS 5.0为OPENID Server端）。根据提示配置对应参数项的值，如下：

• client id：在OPENID Server的OAuth2.0协议中配置对接信息后，OPENID Server的OAuth2.0为OPENID Client生成的client id信息。

• client secret：在OPENID Server的OAuth2.0协议中配置对接信息后，OAuth2.0为OPENID Client生成的client secret信息（与client id一起生成）。

• discoveryURL：OPENID Server端的地址，地址配置路径示例：http://{ServerIP:Port}/.well-known/openid-configuration。

4. 配置完成后，单击<确定>按钮即可完成新建SSO认证。

开启SSO认证的注意事项

1.      大数据平台与绿洲平台进行SSO对接认证的两种情况

开启SSO认证且选择"CAS"认证协议时，大数据平台仅支持与绿洲平台进行单点登录认证。大数据平台与绿洲平台进行SSO对接认证时，存在两种情况：

• 绿洲平台不开启应用管理安全维护（默认不开启），配置完成后大数据平台可直接使用单点登录。

• 绿洲平台开启应用管理安全维护，必须在绿洲平台完成大数据平台对接绿洲平台单点登录的应用配置，关键参数如下：

• 登录回调地址：https://IP-Address:443/api/sso/callback?client_name=CasClient；其中IP-Address需替换为Client端的IP。

• 退出回调地址：根据用户现场是否存在内外网映射，分为两种情况：（1）若用户现场不存在内外网映射，则退出回调地址与配置的“登录回调地址”相同，即退出回调地址为https://IP-Address:443/api/sso/callback?client_name=CasClient，其中IP-Address需替换为Client端的IP。（2）若用户现场存在内外网映射，则退出回调地址为配置的“登录回调地址”所对应的内网地址，即退出回调地址为https://内网IP-Address:443/api/sso/callback?client_name=CasClient，其中内网IP-Address需替换为Client端对应的内网IP。

2.      开启SSO认证并开启防火墙时的白名单配置

• 开启SSO认证且选择"CAS"认证协议时

• 若绿洲平台开启了防火墙：需要把大数据平台的管理节点IP、管理节点虚拟IP添加至绿洲平台的白名单，否则会导致大数据平台对接绿洲平台单点登录失败。

• 若大数据平台开启了防火墙：需要把绿洲平台的所有节点IP添加至大数据平台的白名单，否则会导致大数据平台对接绿洲平台单点登录失败。

• 开启SSO认证且选择"OAuth2.0"认证协议时

• 若紫鸾平台开启了防火墙：需要把大数据平台的管理节点IP、管理节点虚拟IP添加至绿洲平台的白名单，否则会导致大数据平台对接紫鸾平台单点登录失败。

• 若大数据平台开启了防火墙：需要把紫鸾平台的授权URL的IP添加至大数据平台的白名单，否则会导致大数据平台对接紫鸾平台单点登录失败。

• 开启SSO认证且选择"OPENID"认证协议时

• 若“支持OPENID认证与授权标准的系统”开启了防火墙：需要把大数据平台的管理节点IP、管理节点虚拟IP添加至“支持OPENID认证与授权标准的系统”的白名单，否则会导致大数据平台对接“支持OPENID认证与授权标准的系统”单点登录失败。

• 若大数据平台开启了防火墙：需要把“支持OPENID认证与授权标准的系统”的IP地址添加至大数据平台的白名单，否则会导致大数据平台对接“支持OPENID认证与授权标准的系统”单点登录失败。

修改SSO认证

修改SSO认证时，若配置错误，则可能导致页面无法登录、用户无法同步，请谨慎操作。

 

1. 在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

2. 单击页面左上角<配置>按钮，可编辑SSO认证的信息。

3. 配置修改完成后，单击<确定>按钮即可完成SSO认证的修改。

关闭SSO认证

当您不再需要使用该SSO认证时，可执行关闭SSO认证操作。

1. 在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

2. 单击页面左上角<配置>按钮，可将SSO对接认证按钮配置为“关闭”，即可关闭SSO认证。