返回
一键免密登录云平台!ZStack Cloud 4.5.0等你来解锁……
2022-11-22 20:02

近日,ZStack Cloud 4.5.0发布,新增支持多种标准单点登录(SSO)协议。云平台现可对接OIDC/OAuth2/CAS三种协议的统一身份认证系统,使认证系统中的用户可一键免密登录云平台,大大提高了云平台的访问效率和安全等级。

ZStack Cloud 单点登录解决了什么问题?

一般而言,为支持业务正常运转,一些企业会自行维护一套身份认证系统。若企业上云,管理员需确保云平台中的用户与身份认证系统中的用户一一对应,包括身份信息、角色和权限等一系列用户信息。若使用非AD/LDAP协议的身份认证系统,管理员需在云平台中逐一创建用户,并配置相应的角色和权限,这种方式相对低效且容易出错,运维成本较高。单点登录作为目前较为流行的企业业务整合方案,可打通多个应用系统之间的认证关卡,用户只需验证一次就可访问所有相互信任的应用系统。它类似于游乐场的“通票”,游客购买一张通票,在入口核验身份后,即可游玩通票中包含的所有项目。同理,单点登录支持用户通过一个系统验证身份后,即可通过该系统免密登录其他的应用系统。

ZStack Cloud 云平台在之前版本中已支持对接AD/LDAP身份认证系统,从4.5.0版本开始新增支持多种标准单点登录(SSO)协议,您可将相应身份认证系统(包括:OIDC/OAuth2/CAS协议认证系统)对接云平台,当用户信息同步至云平台后,即可实现云平台单点登录。

ZStack Cloud 单点登录是如何实现的?

ZStack Cloud 云平台与OIDC协议、OAuth2协议和CAS协议三种身份认证系统对接、实现单点登录的机制大同小异,本文以OIDC协议授权码模式进行介绍:

第1步

管理员将 ZStack Cloud 云平台免密登录URL配置至企业应用中心或统一门户网站后,身份认证系统中的用户通过企业应用中心或统一门户网站访问 ZStack Cloud 云平台;

第2步

ZStack Cloud 云平台重定向访问认证URI至认证系统;

第3步

认证系统判断用户是否已登录过认证系统:

  • 若用户已登录过认证系统,跳过登录环节至第四步;

  • 若用户未登录过认证系统,用户需手动登录;

第4步

认证系统将携带授权码code参数的认证URI重定向至 ZStack Cloud 云平台;

第5步

ZStack Cloud 云平台获取code参数,并携带该参数向认证系统发送请求获取token;

第6步

认证系统返回token;

第7步

ZStack Cloud云平台使用JWT 解析token,获取用户的信息:

  • 若用户已存在,登录成功;

  • 若用户不存在,ZStack Cloud自动创建新用户,登录成功。

640-1.png

图1:单点登录 ZStack Cloud 云平台功能原理

ZStack Cloud 单点登录有哪些优势?

ZStack Cloud 云平台支持标准的单点登录协议,因此,无论是企业购买的第三方厂商认证系统,还是自行搭建的开源认证系统,均可快速接入云平台。

易用

管理员只需在云平台UI界面配置认证参数和用户映射规则,即可对接认证系统,简单易用。

便捷

云平台对接认证系统后,用户可从管理员配置的统一入口免密登录云平台。登录云平台时,相关用户信息会自动同步至云平台,省去管理员手动配置和维护的成本。

安全

用户所有属性信息均在认证系统中维护,云平台只存储与认证系统对接时映射的属性信息,不存储包括登录密码在内的其他属性信息,进一步提升系统安全性。若员工离职,管理员既可在认证系统中禁用相应用户,也可在云平台中解绑该用户的所有角色,降低恶意攻击的可能性。

此外,云平台会保存用户的登录日志和资源操作日志,方便管理员快速定位异常用户,及时降低风险。

ZStack Cloud 单点登录如何配置?

ZStack Cloud 单点登录配置流程主要分为以下两步:

1、配置统一身份认证系统

对接统一身份认证系统前,管理员需在认证系统中按需配置用户信息,并将云平台配置为认证系统可信客户端。本文以开源Keycloak的OIDC协议为例介绍如何配置统一身份认证系统。添加领域(realm);

640-2.png

图2:添加领域

添加用户,设置用户名和密码,并按需自定义用户属性;

640-4.png

图3:添加用户

在这里插入图片描述

图 4:设置用户密码

在这里插入图片描述

图 5:自定义用户属性


将云平台添加为认证系统的可信客户端;

在这里插入图片描述

图 6:云平台添加为认证系统的可信客户端


在添加好的云平台客户端中,配置需同步至云平台的用户属性信息。

在这里插入图片描述

图 7:配置需同步至云平台的用户属性信息

2、对接统一身份认证系统

云平台支持通过企业管理和子账户管理两个模块对接统一身份认证系统。企业管理支持 OIDC/OAuth2/CAS 三种协议的认证系统,子账户管理支持 OIDC 协议的认证系统,两个模块均只需配置认证参数和用户映射规则即可完成对接。本文以企业管理模块为例介绍如何对接统一身份认证系统:
1)添加第三方认证服务器;

在这里插入图片描述

图 8:添加第三方认证服务器


配置用户映射规则,配置完成后,云平台将自动生成免密登录 URL;

在这里插入图片描述

图 9:配置用户映射规则

在这里插入图片描述

图 10:免密免密登录 URL


将云平台图标与单点登录 URL 配置到应用中心 / 统一门户网站中。第三方用户点击云平台图标,即可免密登录云平台,使用云平台资源。同时,用户信息将同步至云平台。

在这里插入图片描述

图 11:配置云平台图标与单点登录 URL

在这里插入图片描述

图 12:用户信息同步至云平台

总结

云轴科技(ZStack)作为一家自主创新、专注产品化的云计算公司,一直秉承着打造好用的云产品、降低用户云计算使用门槛的理念。云平台单点登录功能打通了与第三方系统的认证关卡,通用性强、简单易用,可大大提高云平台的访问效率和安全等级。未来,ZStack 将坚守初心,持续推出稳定、成熟、好用的云计算产品,激发云计算的无限活力!

升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》

验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》

登录观看培训视频
仅对注册用户开放,请 登录 观看培训视频

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2
立即咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

信息提交成功。

我们将安排工作人员尽快与您取得联系,请保持电话畅通。

感谢您使用 ZStack 产品和服务。

预约沟通

联系我们

业务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2

联系我们

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Cloud 混合云版
ZStack Cloud 基础版
ZStack Cloud 标准版
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。