sso单点登录的几种方式(细说研华WISE-PaaS上的SSO单点登录)
sso单点登录的几种方式(细说研华WISE-PaaS上的SSO单点登录)● 方便用户,单一登录机制▶ 为何要使用SSO? 随着互联网的不断发展,单点登录(Single Sign On,简称SSO),获得了广泛的认可和应用。SSO是指在多个系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。研华的WISE-PaaS工业物联网云平台,就已为用户提供单点登录(SSO)服务。研华WISE-PaaS提供的单点登录机制(SSO),用于管理云平台账户下资源访问权限。
WISE-PaaS动态播报
研华WISE-PaaS工业物联网云平台在不断地升级完善中,“研华智能地球”每周四为您播报其更新动态~
随着云计算的飞速发展,越来越多的云应用、云服务充斥在日常的工作当中。
人们在享受信息化带来的便捷的同时,也遭受着应用系统反复登录,工作入口来回切换,数据消息接收不及时等诸多烦恼。伴随着业务系统数量的增加,用户会觉得自己身陷于越来越多的用户账号和密码需要记录,以便于使用各种云服务。
随着互联网的不断发展,单点登录(Single Sign On,简称SSO),获得了广泛的认可和应用。SSO是指在多个系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
研华的WISE-PaaS工业物联网云平台,就已为用户提供单点登录(SSO)服务。
研华WISE-PaaS提供的单点登录机制(SSO),用于管理云平台账户下资源访问权限。
▶ 为何要使用SSO?
● 方便用户,单一登录机制
使用云平台SaaS服务的用户仅需使用单一账号进行登录,即可取得所有被授权的应用程序的访问权限,改善用户使用应用系统的体验。
● 方便管理者,优化维护管理
系统管理员只需要维护一套统一的用户账号,优化管理的同时,减少了管理漏洞。
● 方便开发者,简化应用系统开发
方便开发者:云平台SaaS开发者通过整合SSO,无须额外开发帐户管理系统,有效节省了开发时间。
▶ SSO具备以下特性:
● 简洁的特性
因为格式为JSON,相较于XML,JWTs可以作为一个URL、POST参数,或在HTTP Header内发送。此外,较小的size传输速度比较快不占用带宽。
● 独立的特性
凭证内容包含关于用户的信息,可以减少数据库查询来验证用户信息。
● 认证便利的特性
一旦使用者登录,每个后续请求都将凭证带在请求的表头,后端服务器收到请求即允许使用者存取该凭证 (token) 允许的路径、服务与资源。如今来说,单点登录是一个广泛使用JWT的特色,因为它简洁,又能够被容易地跨不同领域使用。
● 前后端统一支持的特性
同时支持前端网页(Frontend)与后端(Native)应用单点登录功能,确保最佳用户体验。
● 提供完整的Restful API
提供完整的Restful API供开发者整合,提高整合效率。
▶ SSO提供如下功能:
1、 提供用户注册、用户管理及用户鉴别功能
注册账号需标识账号角色,且对应Cloud Foundry不同权限。通过使用Cloud Foundry的User Account and Authentication (UAA)对用户进行身份鉴别。
2、 提供保护机制防范恶意尝试
WISE-PaaS工业物联网云平台目前要求提供登录功能的环境,均已整合SSO,提供身份验证功能。
● 当用户输入错误的凭证时,将认证失败,无法登录平台。
● 限制凭证连续输入错误的次数。当超过上限次数后,会导致帐户锁定,需要等待解锁时间并尝试使用正确的凭据。
● SSO提供的Token存在有效时长。成功登录平台应用后,若无其他操作,超过有效期后自动将用户登出。
3、 提供并启用用户身份标识唯一检查功能、用户鉴别信息复杂度检查功能
● 用户名称策略:SSO使用Email作为用户身份的唯一标识,并对Email格式提供检查,凡是正确的、不重复的Email均可以注册账户。
● 密码认证:用户访问云平台应用时,需要密码认证。同时,该密码也可以用于API方式访问云平台应用资源。
● 密码策略:用户设置密码需满足密码策略,防止用户使用简单密码导致账号泄露。
4、 采用加密方式存储用户的账号和口令信息
用户的账号以及密码信息,只由Cloud Foundry UAA使用bcrypt加密存储在MySQL数据库,保证用户的密码信息安全。
5、平台业务访问控制
WISE-PaaS 云平台提供多租户的服务,租户之间的权限和数据是完全隔离的。
您的账户下有多个应用服务及解决方案包(SRP)的实例部署在不同租户管理空间中,为了加强权限控制,对资源进行授权,您本身为租户管理员(由平台管理所分配授权),可以再建立子账户绑定不同授权角色分别为平台管理员(admin)、租户管理员( tenant)、租户开发者(developer)和SRP用户(srpUser)。
● admin为平台管理员,具有管理所有Organization的权限,可以管理角色为 tenant / developer 的账户。但不能访问租户应用,保护租户的资源。
● tenant为Organization管理员,可以管理 organization 中的账号、APP、Services。
● developer主要功能为开发应用 (App),由 tenant的账户建立,可以管理被授权的Space中的APP与Services。
● srpUser特别为APP创建的角色,App可运用srpUser 进行平台统一的使用者身份验证,再透过App对srpUser授权,决定srpUser在App中可执行的功能。
6、数据访问控制
使用WISE-PaaS云平台的数据库服务、IoT Hub服务,需要用户的账号拥有使用Space的权限(SSO developer权限及以上),并在Space中创建相应服务的Service Instance,取得连线凭证,获得访问自己的数据的权限。
目前WISE-PaaS云平台的微服务,如AFS、WISE-PaaS/Dashboard、SaaS Composer等均已经整合SSO服务。
此外,云平台提供的解决方案套件,如WISE-PaaS/EdgeSense、WebAccess等的前端网页、后端接口也已经整合SSO服务。
如此,租户通过使用相应权限的账户,即可以享用云平台的微服务以及解决方案套件。