所选语种没有对应资源,请选择:
菜单
技术支持 文档中心
WLAN产品对接配置专题
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
访客通过社交媒体帐号(使用googlePlus帐号/Facebook帐号/Twitter帐号)接入网络

访客通过社交媒体帐号(使用googlePlus帐号/Facebook帐号/Twitter帐号)接入网络

为了方便终端用户使用已有的社交媒体帐号进行身份认证,业务管理器支持与google/Facebook/Twitter认证服务器进行联动,确保终端用户在不另外注册帐号的情况下使用自己的社交媒体帐号和密码在业务管理器的页面进行认证,通过认证之后可获得接入网络的权限。

举例产品和版本

产品类型

产品名称

版本
  • RADIUS服务器
  • Portal服务器

Agile Controller-Campus

V100R003C00

组网需求

某企业已部署一套身份认证系统,对所有通过无线接入企业网络的人员进行准入控制,确保只有合法用户才能接入网络。员工通过PC接入,访客通过手机接入。对于企业的员工,管理员已统一创建本地帐号,员工通过本地帐号进行认证。现在针对访客帐号,要求配置访客能够使用googlePlus帐号、Facebook帐号或Twitter帐号进行身份认证。

数据规划

表1-16  数据规划

项目

数据

说明

SM+SC(RADIUS服务器+Portal服务器)

域名:controller.sz

-

访客认证后域ACL编号

3002

-

访客接入网络的SSID

guest

需要在AC上配置,具体请参见无线环境中的Portal接入(含MAC优先)中的步骤6。

配置思路

  1. 分别配置Agile Controller-Campus与google认证服务器、Facebook认证服务器或Twitter认证服务器进行对接。
  2. 定制认证页面,访客未认证访问网络时,自动跳转到访客认证页面。
  3. 定制Portal页面推送规则,对访客推送定制的认证页面。
  4. 配置认证时使用社交媒体作为外部认证源,增加授权结果和授权规则,对访客身份认证成功后授予访问控制权限。

前提条件

  1. 在AC/交换机和Agile Controller-Campus上已完成Portal认证的配置,具体请参见Portal的配置举例。配置时需要注意以下几点:
    1. URL模板中配置Portal服务器的URL地址时,必须配置域名形式的地址。
      [AC] url-template name huawei
[AC-url-template-huawei] url http://Portal服务器域名:8080/portal
[AC-url-template-huawei] quit
    2. 在AC/交换机上通过free rule放行社交媒体网站的地址,保证终端在认证通过前能够访问社交媒体认证页面认证。
      • 如果AC/交换机支持通过域名放行免认证资源,在认证前需要放行如下域名:
        • 对于Google服务器,需要放行www.googleapis.com、apis.google.com、accounts.google.com。
        • 对于Facebook服务器,需要放行connect.facebook.net、www.facebook.com。
        • 对于Twitter服务器,需要放行api.twitter.com、abs.twimg.com、mobile.twitter.com、twitter.com。
          <AC> system-view 
[AC] acl 6000    //创建一条编号在6000~6031之间的ACL规则,ACL规则中放行免认证域名 
[AC-acl-adv-6000] rule 1 permit ip destination passthrough-domain www.googleapis.com //以放通www.googleapis.com为例
[AC-acl-adv-6000] quit 
[AC] free-rule-template name default_free_rule  //进入免认证规则模板视图 
[AC-free-rule-default_free_rule] free-rule acl 6000  //通过ACL放行免认证资源 
[AC-free-rule-default_free_rule] quit
      • 如果AC/交换机不支持通过域名放行免认证资源,通过命令提示符窗口运行“nslookup 完整主机名”可查到主机名对应的IP地址,然后通过IP地址形式放行免认证资源。
        <AC> system-view 
[AC] portal free-rule 1 destination ip 216.58.200.42 mask 255.255.255.255
[AC] portal free-rule 1 destination ip 172.217.24.10 mask 255.255.255.255
[AC] portal free-rule 1 destination ip 172.217.160.74 mask 255.255.255.255
[AC] portal free-rule 1 destination ip 172.217.160.106 mask 255.255.255.255
[AC] portal free-rule 1 destination ip 216.58.200.234 mask 255.255.255.255
[AC] portal free-rule 1 destination ip 172.217.27.138 mask 255.255.255.255
    3. 如果企业自己搭建了DNS服务器,并且接入控制设备作为DHCP服务器,需要在接入控制设备上与终端通信的VLANIF接口下配置DNS服务器的地址。
      [AC] interface vlanif 101
[AC-Vlanif101] ip address 192.168.0.1 255.255.255.0
[AC-Vlanif101] dhcp select interface
[AC-Vlanif101] dhcp server dns-list 172.18.1.2   //配置DNS服务器地址,172.18.1.2是本地DNS服务器的地址,这里只是一个举例,请配置为实际的DNS服务器的地址。
[AC-Vlanif101] quit
  2. 社交媒体服务器与Agile Controller-Campus服务器之间必须网络可达。

操作步骤

  1. 配置与google认证服务器对接参数。

    由于google api变更,当前仅支持2019年3月7日之前与控制器对接成功的谷歌应用。相关约束限制请参见:https://developers.google.com/+/scopes-shutdownhttps://developers.google.com/people/legacy

    1. 申请googlePlus帐号。

      要支持终端用户使用已有的googlePlus帐号进行身份认证的功能,企业必须向google申请自己独立的googlePlus帐号,以便获得google的合法授权。
      1. 运行Web浏览器。
      2. 在地址栏打开https://accounts.google.com
      3. 注册一个帐号。

    2. 创建googlePlus应用。

      1. 在地址栏打开https://console.developers.google.com/project,使用google帐号登录,单击“Create Project”
      2. 输入项目名称,单击“Create”



      3. 单击“Use Google APIs”

      4. “Social APIs”区域单击“Google+ API”



      5. 单击“Enable API”

      6. 单击“Go to Credentials”

      7. 按照下图设置Credentials的类型,单击“What credentials do I need?”

      8. 填写对应信息,单击“Create client ID”



        参数

        取值

        Name

        Web client 1

        Authorized JavaScript origins

        “https://业务控制器-域名:8445”。

        Agile Controller-Campus上定制页面时,定制页面的推送协议需要跟此处输入的保持一致,如果这里输入“https://业务控制器-域名:8445”,则在Agile Controller-Campus上定制页面时,必须选中“使用HTTPS协议推送页面”

        说明:

        Google认证此处协议必须为HTTPS,且必须配置成域名的方式。

        Authorized redirect URls

        “https://业务控制器-域名:8445/portal”。

        Agile Controller-Campus上定制页面时,定制页面的推送协议需要跟此处输入的保持一致,如果这里输入“https://业务控制器-域名:8445/portal”,则在Agile Controller-Campus上定制页面时,必须选中“HTTPS协议推送页面”

        如果部署了多台Portal服务器,请用回车分隔。

        说明:

        Google认证此处协议必须为HTTPS,且必须配置成域名的方式。
      9. 填写“Email address”“Product name shown to users”,然后单击“Continue”

      10. 单击“Done”

      11. “Credentials”页面单击“New credentials”,选择“API key”

      12. 选择“Browser key”

      13. 设置API key的名称,单击“Create”,显示创建的API Key。



      14. 记录Client ID和API key。



      Google认证不允许自动弹出的窗口做认证,详情请参考如下链接:

      https://developers.googleblog.com/2016/08/modernizing-oauth-interactions-in-native-apps.html

  2. 配置与Facebook认证服务器对接参数。
    1. 申请Facebook帐号。

      要支持终端用户使用已有的Facebook帐号进行身份认证的功能,企业必须向Facebook公司申请自己独立的Facebook帐号,以便获得Facebook公司的合法授权。

      1. 运行Web浏览器。
      2. 在地址栏打开https://zh-cn.facebook.com/
      3. 注册一个帐号。

    2. 创建Facebook应用。

      1. 在地址栏打开https://developers.facebook.com/,使用Facebook帐号登录,选择My Apps > Create New App

        首次登录后需要单击页面右上角的“Get Started”注册成为开发者,才能创建App。



      2. 创建一个新的App ID

      3. “Facebook Login”区域单击“Set Up”



      4. “Settings”页面填写Vaild OAuth Redirect URIs,此处URI为定制Portal页面推送规则里的URL。



        此处URL必须使用https协议。

      5. 单击“Quickstart”,选择Web平台。



      6. 设置网站网址,网站网址格式为https://SC-IP:8445。单击“Save”后单击“Continue”



      7. Set Up the Facebook SDK for Javascript,单击“Next”



      8. Check Login Status,单击“Next”



      9. Add the Facebook Login Button,单击“Next”



      10. Next Steps



      11. 单击Settings > Basic,查看应用对应的App ID和App Secret,请记录下App ID及App Secret,在Agile Controller-Campus上配置时需要设置这两个值。

        此处,Privacy Policy URL为必填项,否则应用将无法发布。

      12. Choose a Category。



      13. 单击“App Review”,把“My Permissions and Features”设置为“ON”



  3. 配置与twitter认证服务器对接参数。
    1. 申请Twitter帐号。

      要支持终端用户使用已有的Twitter帐号进行访客身份认证的功能,企业必须向Twitter公司申请自己独立的Twitter帐号,以便获得Twitter公司的合法授权。

      1. 运行Web浏览器。
      2. 在地址栏打开https://twitter.com/
      3. 注册一个帐号。

    2. 创建Twitter应用。

      1. 在地址栏打开https://apps.twitter.com/,使用Twitter帐号登录,单击“Create New App”



      2. 输入应用信息。


        参数

        取值

        Name

        authtest10001

        Description

        authtest10001

        Website

        “https://业务控制器-IP或域名:8445”。

        Agile Controller-Campus上定制页面时,必须选中“使用HTTPS协议推送页面”

        说明:

        Twitter帐号认证和Google帐号认证同时使用时,此处协议必须为HTTPS,且必须配置成域名的方式。

        Callback URL

        “https://业务控制器-IP或域名:8445/portal”。

        Agile Controller-Campus上定制页面时,必须选中“HTTPS协议推送页面”

        说明:

        Twitter帐号认证和Google帐号认证同时使用时,此处协议必须为HTTPS,且必须配置成域名的方式。
      3. 单击“Create your Twitter application”



      4. 单击“Settings”,选中“Allow this application to be used to Sign in with Twitter”,单击“Update Settings”



      5. 单击“Keys and Access Token”



      6. 保存API key及API Secret。

  4. 业务管理器配置与google认证服务器、Facebook认证服务器、Twitter认证服务器的联动参数。
    1. 选择系统 > 外部认证源 > 第三方应用

      社交媒体类型选中“Facebook”“Google”“Twitter”

      参数

      取值

      Facebook

      App ID

      *****************

      App Secret

      *****************

      Google

      Client ID

      *****************

      apiKey

      *****************

      Twitter

      API key

      *****************

      API secret

      *****************

      映射用户组

      ROOT\Guest

      映射角色

      访客

  5. 定制认证页面。
    1. 选择策略 > 准入控制 > 页面定制 > 页面定制
    2. 选择“系统-短信+社交帐号认证模板”,单击“由此模板新建”
    3. 输入页面基本参数。

      如果在允许访客使用社交媒体帐号认证的同时还需要允许访客自注册帐号,则需要选中“是否允许访客自注册”,访客自注册访问网络的配置请参见访客通过手机获取密码快速认证

      定制页面时,选中“使用HTTPS协议推送页面”

    4. 单击“下一步”,定制“认证页面”“认证成功页面”“用户须知页面”

    5. 单击“发布”
  6. 配置Portal页面推送策略。
    1. 选择策略 > 准入控制 > 页面定制 > Portal页面推送策略,单击“增加”



      参数

      取值

      说明

      名称

      社交媒体页面推送策略

      -

      自定义参数

      ssid=guest
      • “ssid=guest”表示只要未认证的访客选择guest这个ssid,AC就会推送“推送页面”
      • 自定义参数的详细说明请参见配置Portal页面推送策略
      • 自定义参数中用到了哪个URL参数,需要AC通过URL参数模板发送给Portal服务器才能匹配条件。例如本例配置了url-parameter ssid ssid,参数中包含ssid参数,故能够正常匹配条件。

      推送页面

      选择在5中定制的页面。

      -

      推送的第一个页面

      使用Twitter帐号认证时此处必须选择“认证页面”

      第一次向用户推送时显示的页面。

      认证成功后页面跳转

      继续访问原页面

      需要在AC上完成URL参数的配置,具体请参见如何配置在Portal认证成功后继续访问原页面

    2. 单击“确定”
  7. 将SSID添加到Agile Controller-Campus中,以便通过SSID对用户进行授权。
    1. 选择策略 > 准入控制 > 策略元素 > SSID
    2. 单击“增加”,添加访客SSID。

      该SSID的名称(含大小写)必须与AC上配置的SSID的名称一致。

  8. 配置认证时使用社交媒体作为外部认证源。
    1. 选择策略 > 准入控制 > 认证授权 > 认证规则,单击“增加”



      参数

      取值

      名称

      社交媒体

      定制条件

      社交媒体帐号

      数据源

      第三方应用数据源

      请选择允许使用的认证协议

      选择全部协议

    2. 单击“确定”
  9. 配置授权结果和授权规则。
    1. 选择策略 > 准入控制 > 认证授权 > 授权结果,单击“增加”



      参数

      取值

      名称

      社交媒体

      ACL号

      3002(已经在交换机上配置好,认证通过之后访客允许访问的网络资源由此ACL号设定)

    2. 单击“确定”
    3. 选择策略 > 准入控制 > 认证授权 > 授权规则,单击“增加”



      参数

      取值

      名称

      社交媒体的授权规则

      定制条件

      社交媒体帐号

      授权结果

      社交媒体

    4. 单击“确定”

验证

  1. 用户通过手机连接Wi-Fi,选择guest热点,访问Internet,被重定向至访客认证页面。
  2. 在认证页面,根据已有的帐号类型单击对应的图标,此时Web浏览器会连接对应的网站,显示对应网站的登录页面。
  3. 输入帐号和密码,单击“登录”,认证成功后能正常访问网络,访问权限正常。
  4. 在业务管理器选择资源 > 用户 > 在线用户管理,可以看到帐号的在线信息。
  5. 在业务管理器选择资源 > 用户 > RADIUS日志,可查到帐号的RADIUS认证日志。
翻译
English
下载文档
更新时间:2020-12-17

文档编号:EDOC1000113778

浏览量:117626

下载量:9138

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: