企业认证登录管理
最近更新时间: 2024-06-12 15:06:00
接入准备
企业方需要依据认证类型提供相关服务器
云平台的容器网络需要可访问企业服务器所在网络,如果网络未配置好,请不要开启企业账号登录,否则导致无法登录租户端 。
接入CAS
进入腾讯云金融专区租户端控制台 ,点击【访问管理】>【企业认证登录管理界面】 页面。
配置企业用户认证CAS相关信息。
用户信息字段匹配的意义说明:
CAS server端需通过CAS校验ticket url将账号server端的用户信息传给平台,用户信息包括用户名、用户昵称、手机号码和邮箱。对于同样的信息,不同server返回的字段名可能不一样,接入方可在用户信息字段匹配这里对字段名做转换,其中,json里的key表示平台读取的字段,value表示server端返回的字段名,举个例子,若server端返回的用户信息里,用户名字段命名的是user,则value里直接填value,若取的字段名是userName,则value里填写userName
账号同步字段意义说明:
server端需将用户信息传给平台,平台取server端传过来的用户名之后,会检测当前租户下,是否有同名子用户,若平台存在同名子用户,则直接以该子用户身份登录到平台,若当前租户下不存在同名子用户,则会判断账号同步开关是否开启,若账号同步开关开启,则平台会在当前租户下自动创建一个同名子用户,若账号同步开关关闭,则平台会提示,平台不存在子用户,需联系管理员创建
配置企业 CAS 登录、校验地址(以上url网络必须与腾讯云金融专区网络可达),相关地址含义具体可以参考CAS协议说明。
开启企业用户认证。
CAS校验 ticket url 需返回 xml cas:serviceResponse ,需包含用户名称、昵称、手机、邮箱,否则无法接入成功!
其中用户名称、昵称、手机、邮箱字段名称客户可自定义,可在用户信息字段匹配里做映射(参考步骤2)
参数名称 类型 是否必选 描述 cas:user_id String 是 企业用户登录名称,1-50个英文字母、数字,支持_-.,不支持空格 cas:user_name String 是 企业用户昵称 cas:email String 是 邮箱,必须符合邮箱格式规范 cas:phone Int 否 手机号码 cas:country_code String 否 手机号码地区号,如中国:86 企业方 CAS ticket 校验 serviceValidate
响应 xml 格式示例:
<cas:serviceResponse xmlns:cas='http://www.yale.edu/tp/cas'> <cas:authenticationSuccess> <cas:user>chopin1</cas:user> <cas:attributes> <cas:user_id>chopin1</cas:user_id> <cas:user_name>chopin1</cas:user_name> <cas:email>chopin1@qq.com</cas:email> <cas:phone>13999999999</cas:phonel> <cas:country_code>86</cas:country_code> </cas:attributes> </cas:authenticationSuccess> </cas:serviceResponse>
网络层通信验证和配置
进入到腾讯云金融专区集群master节点,进入到 ocloud-tcenter-mc-idplogin pod容器 shell 终端执行:
验证pod通往企业cas server网络是否可达,注:以下 url 需要填写企业自身 cas server validate 地址
验证上述步骤网络是否可达,如果可达,以上步骤配置完成。
如果不可达,验证 ocloud-tcenter-mc-idplogin pod 容器是否可以外网或者是否可访问企业cas server网络,网络上可达域名上不可达,则在kube-dns配置上访问的域名,如果网络不可达则联系部署交付实施配置网络与企业网络能正常连通。
配置并开启之后,用户在租户端登录时,需输入主账号ID,目前企业认证登录信息是租户粒度的配置,即每个租户可配置自己的账号server,所以需先输入主账号ID,平台根据主账号ID查询对应的server信息;输入正确的主账号ID之后,平台会自动重定向到企业cas server端,若用户在cas server端是已登录状态,则直接以登录态进入控制台;若用户在cas server端是非登录态,则平台会打开cas server端登录页,用户需在cas server端的登录页输入账号密码在server端登录之后,再以登录态进入控制台
接入OAuth
进入腾讯云金融专区租户端控制台 ,点击【访问管理】>【企业认证登录管理界面】 页面。
配置企业用户认证OAuth相关信息。
配置企业OAuth备注、ClientId、ClientSecret、Oauth验证授权信息url、获取access_token url、获取用户信息url、账号同步开关已经用户信息字段匹配
用户信息字段匹配的意义说明:
Oauth server端需通过获取用户信息url将账号server端的用户信息传给平台,用户信息包括用户名、用户昵称、手机号码和邮箱。对于同样的信息,不同server返回的字段名可能不一样,接入方可在用户信息字段匹配这里对字段名做转换,其中,json里的key表示平台读取的字段,value表示server端返回的字段名,举个例子,若server端返回的用户信息里,用户名字段命名的是user,则value里直接填value,若取的字段名是userName,则value里填写userName
账号同步字段意义说明:
server端需将用户信息传给平台,平台取server端传过来的用户名之后,会检测当前租户下,是否有同名子用户,若平台存在同名子用户,则直接以该子用户身份登录到平台,若当前租户下不存在同名子用户,则会判断账号同步开关是否开启,若账号同步开关开启,则平台会在当前租户下自动创建一个同名子用户,若账号同步开关关闭,则平台会提示,平台不存在子用户,需联系管理员创建(如下图所示)
开启企业用户认证。
网络层通信验证和配置
进入到腾讯云金融专区集群master节点,进入到 ocloud-tcenter-mc-idplogin pod容器 shell 终端执行:
验证pod通往企业cas server网络是否可达,注:以下 url 需要填写企业自身 cas server validate 地址
验证上述步骤网络是否可达,如果可达,以上步骤配置完成。
如果不可达,验证 ocloud-tcenter-mc-idplogin pod 容器是否可以外网或者是否可访问企业cas server网络,网络上可达域名上不可达,则在kube-dns配置上访问的域名,如果网络不可达则联系部署交付实施配置网络与企业网络能正常连通。
配置并开启之后,用户在租户端登录时,需输入主账号ID,目前企业认证登录信息是租户粒度的配置,即每个租户可配置自己的账号server,所以需先输入主账号ID,平台根据主账号ID查询对应的server信息;输入正确的主账号ID之后,平台会自动重定向到企业server端,若用户在server端是已登录状态,则直接以登录态进入控制台;若用户在server端是非登录态,则平台会打开server端登录页,用户需在server端的登录页输入账号密码在server端登录之后,再以登录态进入控制台
接入LDAP
进入腾讯云金融专区租户端控制台 ,点击【访问管理】>【企业认证登录管理界面】 页面。
配置企业用户认证LDAP相关信息。
其中,服务器地址、连接类型、基本目录、管理员账号、管理员密码、过滤条件请参考LDAP协议说明
用户信息字段匹配的意义说明:
LDAP server端需将账号server端的用户信息传给平台,用户信息包括用户名、用户昵称、手机号码和邮箱。对于同样的信息,不同server返回的字段名可能不一样,接入方可在用户信息字段匹配这里对字段名做转换,其中,json里的key表示平台读取的字段,value表示server端返回的字段名,举个例子,若server端返回的用户信息里,用户名字段命名的是user,则value里直接填value,若取的字段名是userName,则value里填写userName
账号同步字段意义说明:
server端需将用户信息传给平台,平台取server端传过来的用户名之后,会检测当前租户下,是否有同名子用户,若平台存在同名子用户,则直接以该子用户身份登录到平台,若当前租户下不存在同名子用户,则会判断账号同步开关是否开启,若账号同步开关开启,则平台会在当前租户下自动创建一个同名子用户,若账号同步开关关闭,则平台会提示,平台不存在子用户,需联系管理员创建(如下图所示)
LDAP连接测试
配置好之后,可输入server端的账号名和密码做测试,测试成功,则显示测试成功(如图所示)
若测试失败,则会 根据失败原因显示不通失败信息
配置并开启之后,用户在租户端登录时,需输入主账号ID,目前企业认证登录信息是租户粒度的配置,即每个租户可配置自己的账号server,所以需先输入主账号ID,平台根据主账号ID查询对应的server信息
输入主账号ID之后,需用户再输入该用户在LDAP server端的账号密码,平台会用用户输入的账号密码去server端验证,验证成功之后,则以登录态进入控制台,验证失败则无法进入控制台