一鍵免密登錄云平臺！ZStack Cloud 4.5.0等你來解鎖

近日，ZStack Cloud 4.5.0發(fā)布，新增支持多種標準單點登錄(SSO)協(xié)議。云平臺現(xiàn)可對接OIDC/OAuth2/CAS三種協(xié)議的統(tǒng)一身份認證系統(tǒng)，使認證系統(tǒng)中的用戶可一鍵免密登錄云平臺，大大提高了云平臺的訪問效率和安全等級。

ZStack Cloud 單點登錄解決了什么問題?

一般而言，為支持業(yè)務正常運轉，一些企業(yè)會自行維護一套身份認證系統(tǒng)。若企業(yè)上云，管理員需確保云平臺中的用戶與身份認證系統(tǒng)中的用戶一一對應，包括身份信息、角色和權限等一系列用戶信息。若使用非AD/LDAP協(xié)議的身份認證系統(tǒng)，管理員需在云平臺中逐一創(chuàng)建用戶，并配置相應的角色和權限，這種方式相對低效且容易出錯，運維成本較高。

單點登錄作為目前較為流行的企業(yè)業(yè)務整合方案，可打通多個應用系統(tǒng)之間的認證關卡，用戶只需驗證一次就可訪問所有相互信任的應用系統(tǒng)。它類似于游樂場的“通票”，游客購買一張通票，在入口核驗身份后，即可游玩通票中包含的所有項目。同理，單點登錄支持用戶通過一個系統(tǒng)驗證身份后，即可通過該系統(tǒng)免密登錄其他的應用系統(tǒng)。

ZStack Cloud 云平臺在之前版本中已支持對接AD/LDAP身份認證系統(tǒng)，從4.5.0版本開始新增支持多種標準單點登錄(SS0)協(xié)議，您可將相應身份認證系統(tǒng)(包括：OIDC/OAuth2/CAS協(xié)議認證系統(tǒng))對接云平臺，當用戶信息同步至云平臺后，即可實現(xiàn)云平臺單點登錄。

ZStack Cloud 單點登錄是如何實現(xiàn)的?

ZStack Cloud 云平臺與OIDC協(xié)議、OAuth2協(xié)議和CAS協(xié)議三種身份認證系統(tǒng)對接、實現(xiàn)單點登錄的機制大同小異，本文以OIDC協(xié)議授權碼模式進行介紹：

第1步

管理員將 ZStack Cloud 云平臺免密登錄URL配置至企業(yè)應用中心或統(tǒng)一門戶網站后，身份認證系統(tǒng)中的用戶通過企業(yè)應用中心或統(tǒng)一門戶網站訪問 ZStack Cloud 云平臺;

第2步

ZStack Cloud 云平臺重定向訪問認證URI至認證系統(tǒng);

第3步

認證系統(tǒng)判斷用戶是否已登錄過認證系統(tǒng)：

若用戶已登錄過認證系統(tǒng)，跳過登錄環(huán)節(jié)至第四步;

若用戶未登錄過認證系統(tǒng)，用戶需手動登錄;

第4步

認證系統(tǒng)將攜帶授權碼code參數(shù)的認證URI重定向至 ZStack Cloud 云平臺;

第5步

ZStack Cloud 云平臺獲取code參數(shù)，并攜帶該參數(shù)向認證系統(tǒng)發(fā)送請求獲取token;

第6步

認證系統(tǒng)返回token;

第7步

ZStack Cloud云平臺使用JWT 解析token，獲取用戶的信息：

若用戶已存在，登錄成功;

若用戶不存在，ZStack Cloud自動創(chuàng)建新用戶，登錄成功。

圖1：單點登錄 ZStack Cloud 云平臺功能原理

ZStack Cloud 單點登錄有哪些優(yōu)勢?

ZStack Cloud 云平臺支持標準的單點登錄協(xié)議，因此，無論是企業(yè)購買的第三方廠商認證系統(tǒng)，還是自行搭建的開源認證系統(tǒng)，均可快速接入云平臺。

易用

管理員只需在云平臺UI界面配置認證參數(shù)和用戶映射規(guī)則，即可對接認證系統(tǒng)，簡單易用。

便捷

云平臺對接認證系統(tǒng)后，用戶可從管理員配置的統(tǒng)一入口免密登錄云平臺。登錄云平臺時，相關用戶信息會自動同步至云平臺，省去管理員手動配置和維護的成本。

安全

用戶所有屬性信息均在認證系統(tǒng)中維護，云平臺只存儲與認證系統(tǒng)對接時映射的屬性信息，不存儲包括登錄密碼在內的其他屬性信息，進一步提升系統(tǒng)安全性。若員工離職，管理員既可在認證系統(tǒng)中禁用相應用戶，也可在云平臺中解綁該用戶的所有角色，降低惡意攻擊的可能性。

此外，云平臺會保存用戶的登錄日志和資源操作日志，方便管理員快速定位異常用戶，及時降低風險。

ZStack Cloud 單點登錄如何配置?

ZStack Cloud 單點登錄配置流程主要分為以下兩步：

1、配置統(tǒng)一身份認證系統(tǒng)

對接統(tǒng)一身份認證系統(tǒng)前，管理員需在認證系統(tǒng)中按需配置用戶信息，并將云平臺配置為認證系統(tǒng)可信客戶端。本文以開源Keycloak的OIDC協(xié)議為例介紹如何配置統(tǒng)一身份認證系統(tǒng)。

添加領域(realm);

圖2：添加領域

添加用戶，設置用戶名和密碼，并按需自定義用戶屬性;

圖3：添加用戶

圖4：設置用戶密碼

圖5：自定義用戶屬性

將云平臺添加為認證系統(tǒng)的可信客戶端;

圖6：云平臺添加為認證系統(tǒng)的可信客戶端

在添加好的云平臺客戶端中，配置需同步至云平臺的用戶屬性信息。

圖7：配置需同步至云平臺的用戶屬性信息

2、對接統(tǒng)一身份認證系統(tǒng)

云平臺支持通過企業(yè)管理和子賬戶管理兩個模塊對接統(tǒng)一身份認證系統(tǒng)。企業(yè)管理支持OIDC/OAuth2/CAS三種協(xié)議的認證系統(tǒng)，子賬戶管理支持OIDC協(xié)議的認證系統(tǒng)，兩個模塊均只需配置認證參數(shù)和用戶映射規(guī)則即可完成對接。本文以企業(yè)管理模塊為例介紹如何對接統(tǒng)一身份認證系統(tǒng)：

1)添加第三方認證服務器;

圖8：添加第三方認證服務器

配置用戶映射規(guī)則，配置完成后，云平臺將自動生成免密登錄URL;

圖9：配置用戶映射規(guī)則

圖10：免密免密登錄URL

將云平臺圖標與單點登錄URL配置到應用中心/統(tǒng)一門戶網站中。第三方用戶點擊云平臺圖標，即可免密登錄云平臺，使用云平臺資源。同時，用戶信息將同步至云平臺。

圖11：配置云平臺圖標與單點登錄URL

圖12：用戶信息同步至云平臺

總結

云軸科技(ZStack)作為一家自主創(chuàng)新、專注產品化的云計算公司，一直秉承著打造好用的云產品、降低用戶云計算使用門檻的理念。云平臺單點登錄功能打通了與第三方系統(tǒng)的認證關卡，通用性強、簡單易用，可大大提高云平臺的訪問效率和安全等級。未來，ZStack 將堅守初心，持續(xù)推出穩(wěn)定、成熟、好用的云計算產品，激發(fā)云計算的無限活力!

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）