开启SSO对接服务
|
|
下面分别描述以下几种认证方式开启SSO对接服务的操作步骤:
CAS
单击[全部服务]图标
,选择[系统管理/系统配置]菜单项。在左侧导航树中单击[系统配置/安全设置/SSO认证]菜单项,进入SSO认证配置页面。
单击
按钮,开启SSO认证开关,认证协议选择“CAS”。在“endpoint”输入框中添加CAS Server的地址。
填写的地址可参考示例:http://{ip}/cas/auth
单击<确定>按钮,完成操作。
OPENID
Server端OAuth2.0授权
Server端配置中,重定向地址和登出重定向地址需遵循以下配置路径,IP-Address需替换为Client端的IP或域名。
重定向地址:https://IP-Address/api/sso/callback?client_name=OidcClient
登出重定向地址:https:// IP-Address/api/sso/client/logout
如果Client端配置了DNS服务器,且想通过域名的方式接收请求时,需执行操作在Client后台修改域名;
修改域名的操作示例为:curl -X PUT http://{本系统ip}:16660/client/dns?vip={OPENID Client域名}
此配置生效的前提是:本系统已经配置了DNS配置文件/etc/resolv.conf,具备了解析Client端域名的能力。
Client端配置SSO认证
单击[全部服务]图标
,选择[系统管理/系统配置]菜单项。在左侧导航树中单击[系统配置/安全设置/SSO认证]菜单项,进入SSO认证配置页面。
单击
按钮,开启SSO认证开关,认证协议选择“OPENID”。填写client id和client secret,并在“discoveryURL”输入框中添加OPENID Server端的地址,“discoveryURL”输入框中填写的地址需遵循以下配置路径:http://{ServerIP:Port}/.well-known/openid-configuration
单击<确定>按钮,完成操作。
OAuth2.0
Server端OAuth2.0授权
Server端配置中,重定向地址和登出回调地址需遵循以下配置路径,IP-Address需替换为Client端的IP或域名。
重定向地址
认证方式为认证通时的重定向地址:https://IP-Address/api/sso/callback?client_name=RztClient
认证方式为卫士通时的重定向地址:https://IP-Address/api/sso/callback?client_name=WstClient
登出回调地址:https://IP-Address/api/sso/client/logout
| 如果Client端配置了DNS服务器,且想通过域名的方式接收请求时,需执行以下操作在Client后台修改域名; curl -X PUT http://{本系统ip}:16660/client/dns?vip={OPENID Client域名} 此配置生效的前提是:本系统已经配置了DNS配置文件/etc/resolv.conf,具备了解析Client端域名的能力。 |
Client端配置SSO认证
单击[全部服务]图标
,选择[系统管理/系统配置]菜单项。在左侧导航树中单击[系统配置/安全设置/SSO认证]菜单项,进入SSO认证配置页面。
单击
按钮,开启SSO认证开关,认证协议选择“OAuth2.0”。选择认证方式后,输入各项参数,单击<确定>按钮,完成操作。
表-1 当认证方式为认证通时的参数说明
参数 | 说明 |
client id | 服务端分配的客户端ID。 |
client secret | 服务端分配的客户端密钥。 |
授权URL | 用户自定义填写授权URL地址。
|
获取token URL | 填写获取的token URL地址。
|
用户信息URL | 用户自定义用户信息URL。
|
登出URL | 用户自定义登出URL。
|
用户信息加密 | 该项需要同服务端配置一致,当用户选择“是”时,用户的信息也会被加密;选“否”时,只有用户的数据被加密。本系统默认为“否”。 |
表-2 当认证方式为卫士通时的参数说明
参数 | 说明 |
client id | 服务端分配的客户端ID。 |
client secret | 服务端分配的客户端密钥。 |
授权URL | 用户自定义填写授权URL地址。
|
获取token URL | 填写获取的token URL地址。
|
用户信息URL | 用户自定义用户信息URL。
|
登出URL | 用户自定义登出URL。
|