近日,ZStack Cloud 4.5.0發布,新增支持多種標準單點登錄(SSO)協議。云平臺現可對接OIDC/OAuth2/CAS三種協議的統一身份認證系統,使認證系統中的用戶可一鍵免密登錄云平臺,大大提高了云平臺的訪問效率和安全等級。
ZStack Cloud 單點登錄解決了什么問題?
一般而言,為支持業務正常運轉,一些企業會自行維護一套身份認證系統。若企業上云,管理員需確保云平臺中的用戶與身份認證系統中的用戶一一對應,包括身份信息、角色和權限等一系列用戶信息。若使用非AD/LDAP協議的身份認證系統,管理員需在云平臺中逐一創建用戶,并配置相應的角色和權限,這種方式相對低效且容易出錯,運維成本較高。
單點登錄作為目前較為流行的企業業務整合方案,可打通多個應用系統之間的認證關卡,用戶只需驗證一次就可訪問所有相互信任的應用系統。它類似于游樂場的“通票”,游客購買一張通票,在入口核驗身份后,即可游玩通票中包含的所有項目。同理,單點登錄支持用戶通過一個系統驗證身份后,即可通過該系統免密登錄其他的應用系統。
ZStack Cloud 云平臺在之前版本中已支持對接AD/LDAP身份認證系統,從4.5.0版本開始新增支持多種標準單點登錄(SS0)協議,您可將相應身份認證系統(包括:OIDC/OAuth2/CAS協議認證系統)對接云平臺,當用戶信息同步至云平臺后,即可實現云平臺單點登錄。
ZStack Cloud 單點登錄是如何實現的?
ZStack Cloud 云平臺與OIDC協議、OAuth2協議和CAS協議三種身份認證系統對接、實現單點登錄的機制大同小異,本文以OIDC協議授權碼模式進行介紹:
第1步
管理員將 ZStack Cloud 云平臺免密登錄URL配置至企業應用中心或統一門戶網站后,身份認證系統中的用戶通過企業應用中心或統一門戶網站訪問 ZStack Cloud 云平臺;
第2步
ZStack Cloud 云平臺重定向訪問認證URI至認證系統;
第3步
認證系統判斷用戶是否已登錄過認證系統:
若用戶已登錄過認證系統,跳過登錄環節至第四步;
若用戶未登錄過認證系統,用戶需手動登錄;
第4步
認證系統將攜帶授權碼code參數的認證URI重定向至 ZStack Cloud 云平臺;
第5步
ZStack Cloud 云平臺獲取code參數,并攜帶該參數向認證系統發送請求獲取token;
第6步
認證系統返回token;
第7步
ZStack Cloud云平臺使用JWT 解析token,獲取用戶的信息:
若用戶已存在,登錄成功;
若用戶不存在,ZStack Cloud自動創建新用戶,登錄成功。
圖1:單點登錄 ZStack Cloud 云平臺功能原理
ZStack Cloud 單點登錄有哪些優勢?
ZStack Cloud 云平臺支持標準的單點登錄協議,因此,無論是企業購買的第三方廠商認證系統,還是自行搭建的開源認證系統,均可快速接入云平臺。
易用
管理員只需在云平臺UI界面配置認證參數和用戶映射規則,即可對接認證系統,簡單易用。
便捷
云平臺對接認證系統后,用戶可從管理員配置的統一入口免密登錄云平臺。登錄云平臺時,相關用戶信息會自動同步至云平臺,省去管理員手動配置和維護的成本。
安全
用戶所有屬性信息均在認證系統中維護,云平臺只存儲與認證系統對接時映射的屬性信息,不存儲包括登錄密碼在內的其他屬性信息,進一步提升系統安全性。若員工離職,管理員既可在認證系統中禁用相應用戶,也可在云平臺中解綁該用戶的所有角色,降低惡意攻擊的可能性。
此外,云平臺會保存用戶的登錄日志和資源操作日志,方便管理員快速定位異常用戶,及時降低風險。
ZStack Cloud 單點登錄如何配置?
ZStack Cloud 單點登錄配置流程主要分為以下兩步:
1、配置統一身份認證系統
對接統一身份認證系統前,管理員需在認證系統中按需配置用戶信息,并將云平臺配置為認證系統可信客戶端。本文以開源Keycloak的OIDC協議為例介紹如何配置統一身份認證系統。
添加領域(realm);
圖2:添加領域
添加用戶,設置用戶名和密碼,并按需自定義用戶屬性;
圖3:添加用戶
圖4:設置用戶密碼
圖5:自定義用戶屬性
將云平臺添加為認證系統的可信客戶端;
圖6:云平臺添加為認證系統的可信客戶端
在添加好的云平臺客戶端中,配置需同步至云平臺的用戶屬性信息。
圖7:配置需同步至云平臺的用戶屬性信息
2、對接統一身份認證系統
云平臺支持通過企業管理和子賬戶管理兩個模塊對接統一身份認證系統。企業管理支持OIDC/OAuth2/CAS三種協議的認證系統,子賬戶管理支持OIDC協議的認證系統,兩個模塊均只需配置認證參數和用戶映射規則即可完成對接。本文以企業管理模塊為例介紹如何對接統一身份認證系統:
1)添加第三方認證服務器;
圖8:添加第三方認證服務器
配置用戶映射規則,配置完成后,云平臺將自動生成免密登錄URL;
圖9:配置用戶映射規則
圖10:免密免密登錄URL
將云平臺圖標與單點登錄URL配置到應用中心/統一門戶網站中。第三方用戶點擊云平臺圖標,即可免密登錄云平臺,使用云平臺資源。同時,用戶信息將同步至云平臺。
圖11:配置云平臺圖標與單點登錄URL
圖12:用戶信息同步至云平臺
總結
云軸科技(ZStack)作為一家自主創新、專注產品化的云計算公司,一直秉承著打造好用的云產品、降低用戶云計算使用門檻的理念。云平臺單點登錄功能打通了與第三方系統的認證關卡,通用性強、簡單易用,可大大提高云平臺的訪問效率和安全等級。未來,ZStack 將堅守初心,持續推出穩定、成熟、好用的云計算產品,激發云計算的無限活力!
猜你喜歡
微軟Bing市場份額不增反降, 
美聯儲激進加息對A股和港股 
“賦能金融,共筑安全”知虎 
建信航運航空金租董事長楊險 
“AI四小龍”上市之路各不相 
眾多營養師聯名推薦,圣元荷 
深圳坪山新能源車產業園一期 
