设置单点登录
本文介绍单点登录的设置流程,配置不同 IdP(Identity Platform) 单点登录的具体方法,请参阅单点登录配置示例:
单点登录(Single Sign On, 以下简称 SSO) ,指用户可以使用同一个账号访问多个应用系统,用户使用账号和密码登录一次后,便无需再输入账号和密码,可直接访问应用系统。
DM Hub 支持通过 OAuth 2.0 与 SAML 认证协议的身份认证服务商来实现单点登录。SSO 配置完成后,支持使用第三方身份认证服务商提供(以下简称 IdP)的用户身份来登录 DM Hub。
1. OAuth 2.0
单点登录设置流程如下所示:
- 第一步,在第三方 IdP 处获取 DM Hub 所需要的配置信息,请参阅1.1 获取配置信息。
- 第二步,在 DM Hub 上选择 OAuth 2 认证方式,开启 SSO 功能,请参阅1.2 开启 SSO。
- 第三步,将获取的第三方 IdP 信息填入 DM Hub SSO 配置项,请参阅1.3 填写配置信息。
- 第四步,将 DM Hub 提供的回调地址(Callback URL)填写至第三方 IdP 对应栏目下,请参阅1.4 回调地址。
- 第五步,进行验证,在 DM Hub 上新增 SSO 账号,请参阅1.5 新增 SSO 账号。
- 第六步,用户使用 DM Hub 提供的登录地址进行 SSO 登录,请参阅1.6 SSO 登录。
1.1 从第三方 IdP 获取配置信息
DM Hub 上的配置信息需要从第三方 IdP 的相应字段获取。对于不同 IdP,配置信息所对应的 IdP 字段也不一样,请参阅单点登录配置示例,了解具体获取方法。
DM Hub 配置项和第三方 IdP 所需提供的信息的对应关系简要说明如下:
| 配置项 | 配置说明 |
|---|---|
| Authorization URI | 由第三方 IdP 提供,OAuth 2.0 协议 Authorization Server 上,oauth、authorize 接口对应的地址 |
| Token URI | 由第三方 IdP 提供,Authorization Server上 oauth、token接口对应的地址 |
| User Info URI | 由第三方 IdP 提供,Authorization Server上 userinfo 对应的地址 |
| Authentication Method | 选择post |
| jwkSet URI | 选填,用于从授权服务器(包含用于验证ID令牌的JSON Web签名(JWS)和可选的UserInfo响应)的加密密钥中检索JSON Web密钥(JWK)的 URI |
| Scopes | 选填,授权请求流程期间客户端请求的范围,如 openid,email, 或 profile |
| 用户邮箱对应参数(Identity Attribute) | DM Hub 仅支持邮箱作为 SSO 的用户名,这里需要填email |
| Client ID | OAuth2 Client ID |
| Client Secret | OAuth2 Client 密码 |
1.2 开启 DM Hub SSO 功能
- 管理员进入 用户管理 > 单点登录 页面。
- 选择OAuth 2.0 认证协议。
- 打开单点登录功能开关。
1.3 填写 DM Hub 配置信息
- 点击 单点登录 > 步骤1 在DMhub设置 右侧 编辑 按钮。
- 将从第三方 IdP 处获取到的信息填写至 DM Hub 对应的配置项内。
1.4 返回回调地址
设置完配置信息后,请将 DM Hub 提供的回调地址添加到第三方 IdP 的 Authorization Callback URL 中。
1.5 进行验证,新增 SSO 账号
管理员进入 用户管理 > 单点登录 > OAuth 2 > 添加用户 页面新增 SSO 账号。
1.6 SSO 登录
如果用户在其他系统已经通过第三方登录平台完成登录,可以直接访问免登陆地址进入 DM Hub 系统,无需再次输入账号密码登录。
2. SAML
单点登录设置流程如下:
- 第一步,在第三方 IdP 处获取 DM Hub 所需要的配置信息,请参阅获取配置信息。
- 第二步,在 DM Hub 上选择SAML2认证方式,开启 SSO 功能,请参阅开启 SSO。
- 第三步,将获取的第三方 IdP 信息填入 DM Hub SSO 配置项,请参阅填写配置信息。
- 第四步,将 DM Hub 提供的回调地址(Identifier URL)填写至第三方 IdP 对应栏目下,请参阅回调地址。
- 第五步,在 DM Hub 上新增 SSO 账号,请参阅新增 SSO 账号。
- 第六步,用户使用 DM Hub 提供的登录地址进行 SSO 登录,请参阅SSO 登录。
2.1 从第三方 IdP 获取配置信息
DM Hub 上的配置信息需要从第三方 IdP 的相应字段获取。对于不同 IdP,配置信息所对应的 IdP 字段也不一样,请参阅单点登录配置示例,了解具体获取方法。
DM Hub 配置项和第三方 IdP 所需提供的信息的对应关系简要说明如下:
| 配置项 | 配置说明 |
|---|---|
| Authorization URI | 由第三方 IdP 提供,OAuth 2.0 协议 Authorization Server 上,oauth、authorize 接口对应的地址 |
| IdP public key | 由第三方 IdP 提供,Identity Provider Certificate。 IdP public key 证书内容需要确保首尾有如下注释: -----BEGIN CERTIFICATE---------END CERTIFICATE----- |
| Authentication Method | 选择post |
| Claim rules | 客户邮箱绑定的claims |
| Issuer URI | 由第三方 IdP 提供的Issuer |
2.2 开启 DM Hub SSO 功能
- 管理员进入 用户管理 > 单点登录 页面。
- 选择 SAML 2 认证协议。
- 打开单点登录功能开关。
2.3 填写 DM Hub 配置信息
- 点击 单点登录 > 步骤1 在DMhub设置 右侧 编辑 按钮。
- 将从第三方 IdP 处获取到的信息填写至 DM Hub 对应的配置项内。
2.4 返回回调地址
设置完配置信息后,请将 DM Hub 提供的回调地址添加到第三方 IdP 的 Authorization Callback URL 中。
2.5 新增 SSO 账号
管理员进入 用户管理 > 单点登录 > SAML > 添加用户 页面新增 SSO 账号。
2.6 SSO 登录
如果用户在其他系统已经通过第三方登录平台完成登录,可以直接访问免登陆地址进入 DM Hub 系统,无需再次输入账号密码登录。