Skip to content

Commit

Permalink
update:更新说明文档
Browse files Browse the repository at this point in the history
  • Loading branch information
@yuyan075500
yuyan075500 committed Sep 20, 2024
1 parent 96b3840 commit f9c554e
Show file tree
Hide file tree
Showing 8 changed files with 45 additions and 28 deletions.
9 changes: 5 additions & 4 deletions deploy/sso_example/grafana.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,12 +3,13 @@
## 配置方法
1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Grafana站点信息注册到平台,配置如下所示:
![img.png](img/grafana.jpg)
配置说明:
* 站点名称:指定一个名称,便于用户区分。
* 登录地址:Grafana的登录地址。
* SSO认证:启用。
* 认证类型:选择`OAuth2`
* 站点描述:描述信息。
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`<protocol>://<address>[:<port>]/login/generic_oauth`
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://<address>[:<port>]/login/generic_oauth`
2. **Grafana配置修改**:编辑`grafana.ini`配置文件,修改的配置项如下所示:
```shell
[server]
Expand Down Expand Up @@ -39,9 +40,9 @@
# 固定值
scopes = openid
# OAuth2认证登录登录地址
auth_url = <protocol>://<address>[:<port>]/login
auth_url = http[s]://<address>[:<port>]/login
# OAuth2认证获取Token接口
token_url = <protocol>://<address>[:<port>]/api/v1/sso/oauth/token
token_url = http[s]://<address>[:<port>]/api/v1/sso/oauth/token
# OAuth2认证获取用户信息接口
api_url = <protocol>://<address>[:<port>]/api/v1/sso/oauth/userinfo
api_url = http[s]://<address>[:<port>]/api/v1/sso/oauth/userinfo
```
12 changes: 9 additions & 3 deletions deploy/sso_example/huawei_cloud.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,21 +3,27 @@
## 配置方法
1. **创建身份提供商**:登录华为云,进入【统一身份认证】-【身份提供商】-【创建身份提供商】如下所示:
![img.png](img/huawei-create-idp.jpg)
配置说明:
* 名称:指定一个名称,便于区分。
* 协议:选择`SAML`
* 类型:建议使用`IAM用户SSO`,需要创建一个IAM实体用户。
* 状态:启用。
2. **身份提供商配置**:创建完身份提供商后点击【修改】进行配置,如下所示:
![img.png](img/huawei-idp-config.jpg)
IDP的元数据文件可以访问平台`<protocol>://<address>[:<port>]/api/v1/sso/saml/metadata`获取,将网页中的内容保存到本地`xml`格式的文件中上传即可。
> **注意**:在此页面中的登录连接将用于后续单点登录使用。
* IDP的元数据文件可以访问平台`http[s]://<address>[:<port>]/api/v1/sso/saml/metadata`获取,将网页中的内容保存至`xml`格式的文件中上传即可。

另外请保存登录地址,后续在平台注册站点时使用。
3. **创建IAM用户**:进入【统一身份认证】-【用户】-【创建用户】,如下图所示:
![img.png](img/huawei-create-user.jpg)
配置说明:
* 用户名:登录用户名,与平台中用户的名保持一至。
* 外部身份ID:与用户名保持一致。
* 外部身份ID:与用户名保持一致。

> **说明**:由于身份提供商的类型是IAM用户SSO,所以需要创建一个IAM实体用户,否则无法登录。
4. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将华为云站点信息注册到平台,配置如下所示:
![img.png](img/huawei-site.jpg)
配置说明:
* 站点名称:指定一个名称,便于用户区分。
* 登录地址:华为云的登录地址,与华为云身份提供商配置界面保持一致。
* SSO认证:启用。
Expand Down
7 changes: 4 additions & 3 deletions deploy/sso_example/jenkins.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,20 +3,21 @@
## 配置方法
1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Jenkins站点信息注册到平台,配置如下所示:
![img.png](img/jenkins-site.jpg)
配置说明:
* 站点名称:指定一个名称,便于用户区分。
* 登录地址:Jenkins的登录地址。
* SSO认证:启用。
* 认证类型:选择`CAS3.0`
* 站点描述:描述信息。
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`<protocol>://<address>[:<port>]/securityRealm/finishLogin`
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://<address>[:<port>]/securityRealm/finishLogin`
2. **插件安装**:登录到Jenkins并进入【系统管理】-【插件管理】,如下图所示:
![img.png](img/jenkins-plugin.png)
选中箭头指示的`CAS`插件,点击右上角的【安装】,安装完成重启Jenkins即可。
3. **插件配置**:登录到Jenkins并进入【系统管理】-【全局安全配置】,如下图所示:
![img.png](img/jenins-cas.jpg)
请注意图中红色框,框中的配置项,必须填写正确。
请注意图中红色框,框中的配置项,必须填写正确。
* 安全域:选择`CAS`
* CAS Server URL:CAS认证地址`<protocol>://<address>[:<port>]`
* CAS Server URL:CAS认证地址`http[s]://<address>[:<port>]`
* CAS Protocol:选择`CAS 3.0`
* Full Name Attribute:更改为`name`
* Email Attribute:更改为`email`
12 changes: 7 additions & 5 deletions deploy/sso_example/jumpserver.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,26 +3,28 @@
## 配置方法
1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将JumpServer站点信息注册到平台,配置如下所示:
![img.png](img/jumpserver-site.jpg)
配置说明:
* 站点名称:指定一个名称,便于用户区分。
* 登录地址:JumpServer的登录地址。
* SSO认证:启用。
* 认证类型:选择`OAuth2`
* 站点描述:描述信息。
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`<protocol>://<address>[:<port>]/core/auth/oauth2/callback/`
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://<address>[:<port>]/core/auth/oauth2/callback/`
2. **JumpServer配置**:登录到JumpServer并进入【认证设置】,如下图所示:
![img.png](img/jumpserver-config1.jpg)
![img.png](img/jumpserver-config2.jpg)
配置说明:
* 启用OAuth2认证:启用。
* 服务提供商:便于用户区分,在JumpServer登录页可以看到此名称。
* 图标:在登录的时候会展示。
* 客户端ID:在平台站点详情中获取。
* 客户端密钥:在平台站点详情中获取。
* Token获取方法:选择`POST`
* 范围:指定为`openid`
* 授权端点地址:`<protocol>://<address>[:<port>]/login`
* token端点地址:`<protocol>://<address>[:<port>]/v1/sso/oauth/token`
* 用户信息端点地址:`<protocol>://<address>[:<port>]/v1/sso/oauth/userinfo`
* 注销会话端点地址:`<protocol>://<address>[:<port>]/logout`,平台不支持单点注销,所以此地址不会发生任何作用
* 授权端点地址:`http[s]://<address>[:<port>]/login`
* token端点地址:`http[s]://<address>[:<port>]/v1/sso/oauth/token`
* 用户信息端点地址:`http[s]://<address>[:<port>]/v1/sso/oauth/userinfo`
* 注销会话端点地址:`http[s]://<address>[:<port>]/logout`,平台不支持单点注销,此地址实际不会发生任何作用
* 同步注销:不启用。
* 总是更新用户信息:启用。
* 用户属于映射:平台返回的字段有:`name``email``username``phone_number`可根据实际需要填写。
6 changes: 4 additions & 2 deletions deploy/sso_example/kubepi.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,16 +3,18 @@
## 配置方法
1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Kubepi站点信息注册到平台,配置如下所示:
![img.png](img/kubepi-site.jpg)
配置说明:
* 站点名称:指定一个名称,便于用户区分。
* 登录地址:Kubepi控制台的登录地址。
* SSO认证:启用。
* 认证类型:选择`OAuth2`
* 站点描述:描述信息。
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`<protocol>://<address>[:<port>]/kubepi/api/v1/sso/callback`
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://<address>[:<port>]/kubepi/api/v1/sso/callback`
2. **Kubepi OIDC配置**:登录进Kubepi控制台,点击左侧【用户管理】-【SSO】如下图所示:
![img.png](img/kubepi-config.jpg)
配置说明:
* 协议:选择`OpenID Connect`
* 接口地址:指定OIDC提供商(平台)的配置地址,默认`<protocol>://<address>[:<port>]`,Kubepi会默认在此路径后面加上`/.well-known/openid-configuration`
* 接口地址:指定OIDC提供商(平台)的配置地址,默认`http[s]://<address>[:<port>]`,Kubepi会默认在此路径后面加上`/.well-known/openid-configuration`
* 客户端ID:在平台站点详情中获取。
* 客户端密钥:在平台站点详情中获取。
填写完成后点击【Save】并重启Minio即可生效。
11 changes: 7 additions & 4 deletions deploy/sso_example/minio.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,17 +3,20 @@
## 配置方法
1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Minio站点信息注册到平台,配置如下所示:
![img.png](img/minio-site.jpg)
配置说明:
* 站点名称:指定一个名称,便于用户区分。
* 登录地址:Minio控制台的登录地址。
* SSO认证:启用。
* 认证类型:选择`OAuth2`
* 站点描述:描述信息。
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`<protocol>://<address>[:<port>]/oauth_callback`
* 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://<address>[:<port>]/oauth_callback`
2. **Minio OIDC配置**:登录进Minio控制台,点击左侧【Identity】-【OpenID】-【Create Configuration】创建一个OIDC的提供商,如下图所示:
![img.png](img/minio-config1.jpg)
配置说明:
* Name:指定一个OIDC提供商的名称,建议是英文,经测试中文显示会有问题。
* Config URL:指定OIDC提供商(平台)的配置地址,默认`<protocol>://<address>[:<port>]/.well-known/openid-configuration`
* Config URL:指定OIDC提供商(平台)的配置地址,默认`http[s]://<address>[:<port>]/.well-known/openid-configuration`
* Client ID:在平台站点详情中获取。
* Client Secret:在平台站点详情中获取。
填写完成后点击【Save】并重启Minio即可生效。
> 说明:平台默认授与Minio用户的`policy``readwrite`,使用OIDC登录的用户对Minio存储桶和对象都拥有读写权限。
填写完成后点击【Save】并重启Minio即可生效。

> 说明:默认授OIDC单点登录的用户的`policy``readwrite`
8 changes: 4 additions & 4 deletions deploy/sso_example/tencent.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,15 +3,15 @@
## 配置方法
1. **创建身份提供商**:登录腾讯云,进入【访问管理】-【身份提供商】-【用户SSO】,默认SSO登录是未开启,点击另边的【编辑】开启SSO,如下图所示:
![img.png](img/tencent-config2.jpg)
配置说明:
* 用户SSO:启用。
* SSO协议:`SAML`
* SAML服务提供商元数据URL:此URL复制保存,后面在平台注册站点时需要。
* 身份提供商元数据文档:IDP的元数据文件可以访问平台`<protocol>://<address>[:<port>]/api/v1/sso/saml/metadata`获取,将网页中的内容保存到本地`xml`格式的文件中上传即可。
2. **创建CAM子用户**:接上步,进入【用户列表】-【】-【新建用户】,如下图所示:
* 用户名:登录用户名,与平台中用户的`username`保持一至。
> **说明**:当启用SSO后,所有子用户都无法通过账号密码通过腾讯云控制台登录,都将统一跳转至IDP认证。
* 身份提供商元数据文档:IDP的元数据文件可以访问平台`http[s]://<address>[:<port>]/api/v1/sso/saml/metadata`获取,将网页中的内容保存到本地`xml`格式的文件中上传即可。
2. **创建CAM子用户**:接上步,进入【用户列表】-【新建用户】,确保用户名与平台中用户的`username`保持一至。当启用SSO后,所有子用户都无法通过账号密码通过腾讯云控制台登录,都将统一跳转至IDP认证。
3. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将腾讯云站点信息注册到平台,配置如下所示:
![img.png](img/tencent-site.jpg)
配置说明:
* 站点名称:指定一个名称,便于用户区分。
* 登录地址:腾讯的登录地址,默认为:`https://cloud.tencent.com/login/subAccount/<您的账号ID>?type=subAccount`
* SSO认证:启用。
Expand Down
8 changes: 5 additions & 3 deletions deploy/sso_example/zabbix.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -8,15 +8,17 @@
3. **上传密钥和证书**:将`sp.key``sp.crt``idp.crt`上传到Zabbix站点的`ui/conf/certs/`目录下,除非`zabbix.conf.php`中提供了自定义路径,否则Zabbix默认在刚才的路径中查找文件。
4. **Zabbix单点登录配置**:登录到Zabbix,进入【认证】配置界面,如下图所示:
![img.png](img/zabbix-config.jpg)
配置说明:
* 启用SAML身份验证:选中复选框以启用SAML身份验证。
* IDP实体ID:ID的唯一标识符,此处为`<protocol>://<address>[:<port>]`
* SSO服务URL:用户登录时被重定向到的URL,此处为:`<protocol>://<address>[:<port>]/login`
* IDP实体ID:ID的唯一标识符,此处为`http[s]://<address>[:<port>]`
* SSO服务URL:用户登录时被重定向到的URL,此处为:`http[s]://<address>[:<port>]/login`
* Username attribute:固定值`username`
* SP entity ID:通常为Zabbix的访问地址,如:`<protocol>://<address>[:<port>]`
* SP entity ID:通常为Zabbix的访问地址,如:`http[s]://<address>[:<port>]`
* SP name ID format:固定值`urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified`
其它选项按图示配置即可,另外也可以参考[官方文档](https://www.zabbix.com/documentation/6.0/zh/manual/web_interface/frontend_sections/administration/authentication#advanced-settings "官方文档")进行其它配置。
5. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Zabbix站点信息注册到平台,配置如下所示:
![img.png](img/zabbix-config.jpg)
配置说明:
* 站点名称:指定一个名称,便于用户区分。
* 登录地址:Zabbix的登录地址。
* SSO认证:启用。
Expand Down

0 comments on commit f9c554e

Please sign in to comment.