开启SSO认证

如果认证服务端使用域名进行访问，请及时联系相关技术支持处理配置。 当关闭SSO认证后，平台无法确认使用SSO服务登录用户的身份，故需相关用户联系管理员修改登录密码后才可登录本系统。

 

SSO认证服务是用户的一次性鉴别登录。即是当用户在身份认证中心登录后，即可访问其他关联平台的一种服务。而在本平台中SSO认证服务的认证流程为：用户先在身份认证中心验证身份信息，通过后生成令牌，令牌返回给本平台进行验证，确认用户已认证，即可使用本平台的服务。由此认证过程可以看出SSO认证服务具有更安全、更便利的优点。下面对能开启SSO认证服务的三种认证方式操作步骤分别进行描述：

CAS

OPENID

OAuth2.0

CAS

1. 在顶部导航栏中单击[系统]菜单项，进入系统管理页面。

2. 单击左侧导航树[系统配置/安全设置/SSO认证]菜单项，进入SSO认证配置页面。

3. 开启SSO认证开关，认证协议选择“CAS”。

4. 在“endpoint”输入框中添加CAS Server的地址。

5. 填写的地址可参考示例：http://{ip}/cas/auth

6. 单击<确定>按钮，完成操作。

OPENID

1.      Server端OAuth2.0授权

Server端需参考新建OAuth2.0服务完成配置。其中本系统作为Server端时，为Client端提供Discovery地址，Discovery地址的填写样例为：http://IP-Address/api/sso/.well-known/openid-configuration，其中需注意：IP-Address需替换为Server端的IP或域名。

 

2.      Client端配置SSO认证

当本系统作为在Client端时，需配置SSO认证，其中为Server端提供的信息包括重定向地址和登出重定向地址，地址需遵循以下配置规则，其中重定向地址与登出重定向地址的IP-Address需替换为Client端的IP或域名，。

• 重定向地址：https://IP-Address/api/sso/callback?client_name=OidcClient

• 登出重定向地址：https://IP-Address/api/sso/client/logout

 

1. 在顶部导航栏中单击[系统]菜单项，进入系统管理页面。

2. 单击左侧导航树[系统配置/安全设置/SSO认证]菜单项，进入SSO认证配置页面。

3. 开启SSO认证开关，认证协议选择“OPENID”。

4. 填写client id和client secret，并在“discoveryURL”输入框中添加OPENID Server端的地址，“discoveryURL”输入框中填写的地址由对应服务端决定。

5. 单击<确定>按钮，完成操作。

OAuth2.0

1.       Server端OAuth2.0授权

Server端需参考新建OAuth2.0服务完成配置。其中，重定向地址和登出回调地址需遵循以下配置路径，IP-Address需替换为Client端的IP或域名。

• 重定向地址

• 认证方式为认证通时的重定向地址：https://IP-Address/api/sso/callback?client_name=RztClient

• 认证方式为卫士通时的重定向地址：https://IP-Address/api/sso/callback?client_name=WstClient

• 登出回调地址：https://IP-Address/api/sso/client/logout

如果Client端配置了DNS服务器，且想通过域名的方式接收请求时，需执行以下操作在Client后台修改域名； curl -X PUT http://{本系统ip}/api/sso/client/dns?vip={OPENID Client域名} 此配置生效的前提是：本系统已经配置了DNS配置文件/etc/resolv.conf，具备了解析Client端域名的能力。

 

2.      Client端配置SSO认证

1. 在顶部导航栏中单击[系统]菜单项，进入系统管理页面。

2. 单击左侧导航树[系统配置/安全设置/SSO认证]菜单项，进入SSO认证配置页面。

3. 开启SSO认证开关，认证协议选择“OAuth2.0”。

4. 选择认证方式后，输入各项参数，单击<确定>按钮，完成操作。

表-1 当认证方式为认证通时的参数说明

参数	说明
client id	服务端分配的客户端ID。
client secret	服务端分配的客户端密钥。
授权URL	用户自定义填写授权URL地址。 地址编写需求可参见样例：http://{Server:Port}/oauth/authorize
获取token URL	填写获取的token URL地址。 地址编写需求可参见样例：http://{Server:Port}/oauth/token
用户信息URL	用户自定义用户信息URL。 地址编写需求可参见样例：http://{Server:Port}/api/user/v2/userinfo
登出URL	用户自定义登出URL。 地址编写需求可参见样例：http://{Server:Port}/api/user/logout
用户信息加密	该项需要同服务端配置一致，当用户选择“是”时，用户的信息也会被加密；选“否”时，只有用户的数据被加密。本系统默认为“否”。

 

表-2 当认证方式为卫士通时的参数说明

参数	说明
client id	服务端分配的客户端ID。
client secret	服务端分配的客户端密钥。
授权URL	用户自定义填写授权URL地址。 地址编写需求可参见样例：http://{Server:Port}/oauth/authorize
获取token URL	填写获取的token URL地址。 地址编写需求可参见样例：http://{Server:Port}/oauth/token
用户信息URL	用户自定义用户信息URL。 地址编写需求可参见样例：http://{Server:Port}/oauth/api/user
登出URL	用户自定义登出URL。 地址编写需求可参见样例：http://{Server:Port}/oauth/exit