• 概述
• 前提条件
概述
统一认证接入管理支持E10接入第三方统一认证平台。根据第三方提供的服务方式选择对应的认证方式进行适配。
前提条件
1、统一认证接入是E10接入第三方认证服务,需第三方认证服务提供客户端对接文档,我们根据提供的文档判断是否可以使用统一认证接入直接配置。
2、统一认证接入是只做认证登录,不做人员同步的。使用统一认证接入功能,需要先考虑维护E10人员与第三方系统人员的对应关系。
3、CAS集成方式目前只支持第三方CAS服务返回的默认人员信息与E10人员的手机号码/工号/电子邮箱其中一个匹配。若人员信息匹配不上则单点登录不了。
4、OAuth2集成方式,是需要第三方认证服务上注册E10的回调地址的,里面接口配置是完全根据第三方认证服务提供的对接接口进行配置的。
5、统一认证接入开启之后,访问E10企业登录地址是会跳转到第三方认证服务的。我们需要对第三方系统的域名做校验,校验通过添加白名单之后才能正常跳转。
6、通过统一认证接入认证登录之后,人员是不可切换租户以及新建团队的。
配置说明(需管理员)
入口:后台管理中心-统一认证接入管理
启用:
开启:登录方式使用统一认证中配置的认证方式;
1、 CAS集成认证方式:启用开启后默认显示CAS集成认证方式
a) 基本信息:只读显示回调地址,若第三方CAS服务需要注册E10地址,则需注册这个回调地址;
b) 认证服务参数:配置第三方CAS服务提供的服务地址、登录地址、退出地址;
c) 其它参数:账号规则需看第三方CAS服务认证返回的默认人员信息对应E10人员哪个字段。目前对应E10人员字段只支持手机号码、工号、电子邮箱三个字段。
d) 认证排除策略:判断浏览器User Agent是否包含设置的认证排除特征类型,若包含,则不走认证。例如:功能开启时,设置认证排除特征类型为Chrome, 则在Chrome浏览器中访问E10时,是不会走认证的,而此时在IE浏览器中访问则是需要走认证的。
2、 OAuth2集成认证方式
a) 基本信息:
回调地址:只读显示,需在统一认证平台中注册,注册后会分配应用标识以及应用密钥。
应用标识、应用密钥:统一认证平台提供。
b) 请求用户授权接口:根据统一认证平台提供的接口进行配置接口地址、请求方式、取值字段、接口所需参数。
其中,取值字段是设置授权接口返回的授权码参数名称。
c) 获取授权Token接口:根据统一认证平台提供的接口进行配置接口地址、请求方式、取值字段、接口所需参数。
其中,取值字段是设置token接口中返回token的参数名称。
d) 获取用户信息接口:根据统一认证平台提供的接口进行配置接口地址、请求方式、账号规则、取值字段、接口所需参数。
其中,取值字段是设置用户信息接口返回的人员参数字段,与账号规则选择的字段对应。
e) 统一退出接口:根据统一认证平台提供的接口进行配置接口地址、请求方式、接口所需参数。
f) 检测心跳接口:根据统一认证平台提供的接口进行配置接口地址、请求方式、心跳正常标记、接口所需参数。
其中,心跳正常标记配置心跳接口正常返回的结果。开启后,会先调用心跳接口,将返回值与心跳正常标记进行比对,若能对上,则进行认证登录。
g) 参数设置:请问用户授权接口、获取授权Token接口、获取用户信息接口、统一退出接口、检测心跳接口,五个接口都可以配置参数设置,根据提供的实际接口所需参数进行配置。
其中,请求头参数支持Base64编码。
请求头-内容,请求参数-参数值支持选择浏览框数据以及手动输入:
浏览框支持选择:
${client_id}获取基本信息中配置的应用标识
${client_secret}获取基本信息中配置的应用密钥
${redirect_uri}获取E10回调地址
${code}获取授权接口返回的授权码
${access_token}获取Token接口返回的token
${timestamp}获取当前系统时间,精确到毫秒
${short_timestamp}获取当前系统时间,精确到秒
${date}获取当前日期,格式yyyy-MM-dd
${time}获取当前时间,格式HH:mm:ss
${dateandtime}获取当前日期时间,格式yyyy-MM-dd HH:mm:ss
3、SAML集成认证方式
a) SAML集成配置前提
①adfs服务需要提供IDP元数据文件,若有证书可提供证书文件以及证书文件所需密码
②看adfs服务要求,是否需要SP(E10系统)必须https,若有要求,则E10系统需部署https
③需维护adfs服务中的人员与E10系统中人员的对应关系
b) SAML集成页面配置说明
Entity ID:默认带出,若没有特殊要求,无需做修改。
IDP元数据文件:上传adfs服务提供的IDP元数据文件。
自动生成自签名证书:若adfs服务提供了证书文件,则关闭,上传签名证书;若adfs服务未提供证书文件,则可开启,使用自签证书。
签名证书:上传adfs服务提供的证书文件
证书密码:若上传签名证书,则为签名证书对应的密码;若使用自签证书,则自行设置自签证书的密码。
签名算法:默认SHA-1;可选SHA-1、SHA-256;签名算法需要告知adfs服务
组织名称、组织网址、联系邮箱地址:必填;生成SP元数据文件时需要;自行设置,主要是告知adfs服务这边交互的SP(E10系统)的组织信息
账号规则:设置从adfs服务获取的用户信息与E10系统人员的对应关系;可选手机号码、工号、电子邮箱;
若选择“电子邮箱”,则将获取的用户信息直接与E10的人员邮箱进行匹配;
若选择“手机号码”,则将获取的用户信息,截取@符号前面的内容 与E10的人员手机号码进行匹配;
若选择“工号”,则将获取的用户信息,截取@符号前面的内容与E10的人员工号进行匹配。
c) SAML集成页面按钮说明:
保存:保存SAML集成页面信息,并生成SP元数据文件;
点击【保存】会校验配置项必填项,会提示“此项必填”;
点击【保存】会校验配置项(Entity ID、IDP元数据文件、自动生成自签名证书、签名证书、证书密码、签名算法、组织名称、组织网址、联系邮箱地址)因调整数据需重新生成SP元数据文件,会有确认提示“是否需要更新SP元数据文件,若进行更新,需重新下载SP元数据文件给到IDP进行导入”;
点击【保存】会校验证书文件是否能够解析,会提示“证书识别不出”,需检查adfs提供的证书文件以及证书密码是否正确
下载SP元数据文件:保存SAML集成信息生成SP元数据文件之后显示;
点击【下载SP元数据文件】可下载SP元数据文件,将此文件以及设置的签名算法提供给adfs服务进行导入;
点击【下载SP元数据文件】若页面信息有调整但未保存,会提示“列表数据修改,请重新保存后再下载”。
d) adfs服务导入SP元数据文件
SAML集成配置保存后,会生成SP元数据文件,可通过【下载SP元数据文件】下载此文件,将文件以及设置的签名算法提供给adfs服务,adfs服务方需要进行配置。
e) 集成效果
全局基础-界面配置中心-登录页设置中维护PC端登录页自定义登录地址:
PC端,访问自定义登录地址可跳转到adfs服务认证登录页面进行登录,登录后可回调登录E10系统。
4、WebSEAL集成认证方式(只支持私有)
a) 回调地址:认证服务上注册E10应用的回调地址。点击复制即可复制使用。
b) 获取参数方法:可支持请求头、请求参数两种方式。
说明:
获取参数方法为请求头时,请求头中包含参数名称属性,可直接访问个性化地址或直接访问回调地址进行单点登录;
获取参数方法为请求参数时,将参数名称拼接到回调地址后进行单点登录。
注:请求头/请求参数的参数值为中文需要进行encode编码。
c) 参数名称:根据WebSEAL服务提供的参数进行配置。
说明:
参数名称默认值为:iv-user。
注:参数名称不能为中文或特殊字符( - 除外)。
d) 其他参数:账号规则可支持手机号码、工号、电子邮箱三种转换规则。
使用说明:
根据参数名称获取到的信息与系统中人员进行对应。例如:通过参数名称获取到的值对应人员的工号,则账号规则就选择工号。
5、微软AAD集成认证方式
微软AAD集成是OAuth2集成认证方式的一种,是依据《微软统一身份认证对接接口文档》进行对接,已经提供默认的接口以及参数设置配置。
实际接入的时候,需要调整:
a) 基本信息:AAD上面注册E10回调地址,提供应用标识以及应用密钥
b) 请求用户授权接口:只需调整接口地址
c) 请求授权Token接口:只需调整接口地址
d) 请求用户信息接口:需要调整接口地址,AAD上面的人员接口是需要开放权限的,需要咨询下微软。
人员接口中默认是AAD返回人员属性的mail属性 对应E10中人员的电子邮箱。
6、竹云认证集成认证方式
竹云认证集成是OAuth2集成认证方式的一种,是依据《竹云统一身份认证对接接口文档》进行对接,已经提供默认的接口以及参数设置配置。
实际接入的时候,需要调整:
a) 基本信息:竹云上面注册E10回调地址,提供应用标识以及应用密钥
b) 请求用户授权接口:只需调整接口地址
c) 请求授权Token接口:只需要跳转接口地址
d) 请求用户信息接口:需要调整人员接口地址
人员接口中默认是返回人员属性的mobile属性 对应E10中人员的手机号码,可根据实际需要进行调整。
e) 统一退出接口:需要调整退出接口地址
7、派拉集成认证方式
派拉集成是OAuth2集成认证方式的一种,是依据《派拉统一身份认证对接接口文档》进行对接,已经提供默认的接口以及参数设置配置。
实际接入的时候,需要调整:
a) 基本信息:派拉上面注册E10回调地址,提供应用标识以及应用密钥。 appkey也是派拉提供。
b) 请求用户授权接口:只需要调整授权接口地址
c) 请求授权Token接口:只需要调整token接口地址
d) 请求用户信息接口:需要调整人员接口地址
人员接口中默认是返回人员属性的mobile属性 对应E10中人员的手机号码,可根据实际需要进行调整。
e) 检测心跳接口:只需调整接口地址
8、 企业登录地址:需设置企业登录地址, 访问企业登录地址才可以跳转认证服务。
入口:界面配置中心-登录页设置
