所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type II) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置第三方认证

配置第三方认证

第三方服务器:是第三方系统(独立于ManageOne存在的系统,ManageOne用户无需单独部署)用来管理第三方用户信息的服务器。该服务器可以与多个系统(例如:ManageOne)对接,对接后,第三方用户就可以与对接系统进行业务共享。第三方用户在登录对接系统时,由第三方服务器进行认证。

ManageOne与第三方服务器的对接不是必须的,只有第三方用户需要使用ManageOne业务时,才需要将两者进行对接。

根据ManageOne对接的第三方服务器不同,可以将第三方用户认证分为不同的类型,目前ManageOne的第三方认证包含LDAP认证和联邦认证。

  • 联邦认证是使用SAML协议的用户身份验证方式,如果第三方用户需要使用该验证方式,则需要提前完成联邦认证,具体请参见创建身份提供商
  • LDAP(Lightweight Directory Access Protocol)是轻量目录访问协议。LDAP支持多种认证方式。当前系统支持用户名密码和SSL(Secure Sockets Layer)认证方式。用户可将登录信息统一部署在LDAP服务器上,登录时用户认证由LDAP服务器实现。如果第三方用户需要使用该验证方式,则需要提前完成LDAP认证,具体请参见创建LDAP服务器。使用该方式实现认证的两种应用实例如下。
    • Open LDAP服务器:LDAP协议的应用实例,兼容微软AD以及标准LDAP协议。在LDAP认证中,建议用户采用Open LDAP认证方式。
    • AD服务器:微软开发的LDAP应用实例,且只能运行在Windows环境上。

创建身份提供商

如果需要使用SAML协议进行第三方用户身份验证,则需提前执行该操作。

AD FS服务器会保存有效时间内的会话(一般默认为8小时),可能存在安全风险。所以,为了保证ManageOne运营面系统数据的安全性,在创建身份提供商后必须设置AD FS服务器的会话有效时间,具体请参考本文中设置AD FS服务器的会话有效时间章节。

前提条件
  • 已获取运营管理员用户名和密码。
  • 该认证方式只支持SAML协议类型,LDAP协议的认证方式可参考创建LDAP服务器
操作步骤

接入第三方身份提供商

  1. 使用浏览器,以运营管理员帐号登录ManageOne。

    非B2B场景登录地址:https://控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://运营管理员的访问地址。例如,https://admin.demo.com。

    运营管理员默认帐号和密码分别为bss_admin和Changeme_123,首次登录需要修改密码,如果不是首次登录,请获取新密码。

  2. 选择系统 > 第三方认证,单击左树的“联邦认证”
  3. “联邦认证”页面,单击“创建身份提供商”
  4. 填写身份提供商的参数。如图3-6所示。

    图3-6 创建身份提供商
    参数说明如下:
    • 名称:填写对接的身份提供商名称。
    • 协议:选择协议,默认支持SAML协议。SAML是一个XML框架,也就是一组协议和规范,可以用来传输企业用户身份证明,主要是企业外的身份跨域传递。
    • Metadata:选择IAM与身份提供商互信的文件,metadata取自身份提供商上的metadata文件下载。

      下载地址:https://身份提供商域名/federationmetadata/2007-06/federationmetadata.xml。

      下载地址示例:假设身份提供商的域名为fs.ad.com,则下载地址为https://fs.ad.com/federationmetadata/2007-06/federationmetadata.xml

    说明:
    • 如果身份提供商IP、域名等发生变更,导致身份提供商发生变化,则需要重新下载并上传对应的metadata文件。
    • 首次下载metadata文件或身份提供商IP、域名发生变更时,需将身份提供商IP和域名添加到hosts文件中,具体请参见本章节中的配置本地hosts文件

  5. 单击“确定”

配置本地hosts文件

  1. 从本地打开hosts文件。

    • 对于Windows操作系统,hosts文件的获取路径如下:

      “C:\Windows\System32\drivers\etc”

    • 对于Linux操作系统,hosts文件的获取路径如下:

      “/etc”

  2. 如果ManageOne运营面需要对接身份提供商,则需在hosts文件中添加如下语句。

    身份提供商IP地址 身份提供商域名

    示例:假设身份提供商的IP地址为192.168.111.139,域名为fs.ad.com,则待添加的语句为:

    192.168.111.139 fs.ad.com

  3. “Ctrl+S”保存更新后的hosts文件。
后续操作

创建身份提供商成功后,用户还需要做如下操作才能成功登录ManageOne运营面:

  1. 用户需要在ManageOne运营面创建租户,对接已经创建的身份提供商。
  2. 在对接了身份提供商的租户中创建第三方用户。此时,该用户就可以在ManageOne运营面登录界面使用“租户联邦认证”方式登录。
    说明:
    • 在对接了身份提供商的租户中创建的用户都属于第三方用户。
    • ManageOne运营面对于用户有角色和权限之分。VDC管理员、VDC业务员等代表了不同角色,不同角色拥有的权限范围本身就不同。用户可根据需求,创建所需的角色与资源权限的第三方用户。
      • 给用户关联不同的角色,该用户就拥有了该角色的权限。
      • 给用户关联相应的Project,该用户就拥有了该Project下的资源操作权限。

    在ManageOne运营面登录界面,使用“租户联邦认证”方式登录ManageOne运营面时,用户不需要输入密码,但是登录后界面会跳转到联邦认证界面,此时需要再次输入用户名和密码才能成功登录ManageOne运营面。

创建LDAP服务器

如果需要使用LDAP协议进行第三方用户身份验证,则需提前执行该操作。例如对接Open LDAP或AD服务器。

前提条件
  • 已获取运营管理员用户名和密码。
  • 已安装并正确配置LDAP服务器。
  • 已从LDAP服务器提供方获取LDAP服务器基本信息,用于系统设置LDAP认证。
  • 启用SSL证书,并且证书类型选择“CER,DER,PEM”时,需已获取第三方LDAP服务器的根证书(即信任证书,证书名称扩展名为.cer,.der或.pem)。
操作步骤
  1. 使用浏览器,以运营管理员帐号登录ManageOne。

    非B2B场景登录地址:https://控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://运营管理员的访问地址。例如,https://admin.demo.com。

    运营管理员默认帐号和密码分别为bss_admin和Changeme_123,首次登录需要修改密码,如果不是首次登录,请获取新密码。

  2. 选择系统 > 第三方认证,单击左树的“LDAP认证”
  3. “LDAP认证”页面,单击“创建LDAP服务器”
  4. “创建LDAP服务器”页面,填写基本信息和配置信息,参数详细说明如下表所示。

    表3-3 参数说明

    参数类别

    参数

    说明

    样例

    基本信息

    主服务器IP地址

    LDAP主服务器的IP地址。

    192.168.0.0

    主服务器端口

    LDAP主服务器的端口号。取值范围为0~65536。默认值为普通端口389;如果需要启用SSL证书则使用安全端口636。

    389

    是否启用SSL证书

    配置是否启用服务器和LDAP服务器的安全通信方式。该证书由第三方对接系统提供。

    启用

    SSL证书内容

    目前默认支持TLSv1.2。

    TLSv1.2

    配置信息

    固定用户

    管理员DN

    连接LDAP服务器的用户名称,此用户必须能够访问LDAP服务器中的用户。

    Open LDAP认证管理员DN:cn=UserName,dc=test,dc=com

    AD认证管理员DN:Administrator@manageone.com

    管理员密码

    对应管理员DN配置的用户密码。

    建议密码符合如下要求:1.不能为空。2.长度范围是1-255位。

    -

    确认密码

    再次确认对应管理员DN配置的用户密码。

    -

    用户属性

    用户根DN

    查询用户时使用的Base DN,即用于存放用户的LDAP服务器中的上层目录。

    dc=test,dc=com

    用户对象类名

    对应LDAP服务器Schema中用户类名的名称。AD认证使用默认值user。

    user

    用户唯一标识

    用以标识用户名的属性名称。AD认证使用默认值samAccountName。

    samAccountName

    说明:

    创建对接配置时,您可以选择与LDAP服务器对接,也可以选择与AD服务器对接。如果需要与AD服务器对接,则需要提供AD服务器的管理员DN、管理员密码、用户跟DN、用户对象类名和用户唯一标识。

  5. 单击“创建”
后续操作
创建LDAP认证成功,就代表着ManageOne运营面已经与第三方系统对接成功。此时,用户还需要在ManageOne运营面创建第三方用户,才能成功登录ManageOne运营面。
说明:

ManageOne运营面对于用户有角色和权限之分。运营管理员、代维管理员、VDC管理员、VDC业务员等代表了不同角色,不同角色拥有的权限范围本身就不同。用户可根据需求,创建所需的角色与资源权限的第三方用户。

  • 给用户关联不同的角色,该用户就拥有了该角色的权限。
  • 给用户关联相应的Project,该用户就拥有了该Project下的资源操作权限。

该第三方用户必须使用“用户登录”方式登录ManageOne运营面,该方式登录时需要输入用户名和密码。

翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043091

浏览量:49278

下载量:316

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页