From f9c554e6b2906220a61afe1fd2216961dbd31483 Mon Sep 17 00:00:00 2001 From: yuyan Date: Fri, 20 Sep 2024 16:03:47 +0800 Subject: [PATCH] =?UTF-8?q?update=EF=BC=9A=E6=9B=B4=E6=96=B0=E8=AF=B4?= =?UTF-8?q?=E6=98=8E=E6=96=87=E6=A1=A3?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- deploy/sso_example/grafana.md | 9 +++++---- deploy/sso_example/huawei_cloud.md | 12 +++++++++--- deploy/sso_example/jenkins.md | 7 ++++--- deploy/sso_example/jumpserver.md | 12 +++++++----- deploy/sso_example/kubepi.md | 6 ++++-- deploy/sso_example/minio.md | 11 +++++++---- deploy/sso_example/tencent.md | 8 ++++---- deploy/sso_example/zabbix.md | 8 +++++--- 8 files changed, 45 insertions(+), 28 deletions(-) diff --git a/deploy/sso_example/grafana.md b/deploy/sso_example/grafana.md index 8fed297..305cab6 100644 --- a/deploy/sso_example/grafana.md +++ b/deploy/sso_example/grafana.md @@ -3,12 +3,13 @@ ## 配置方法 1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Grafana站点信息注册到平台,配置如下所示: ![img.png](img/grafana.jpg) +配置说明: * 站点名称:指定一个名称,便于用户区分。 * 登录地址:Grafana的登录地址。 * SSO认证:启用。 * 认证类型:选择`OAuth2`。 * 站点描述:描述信息。 - * 回调地址:单点登录的回调地址,务必填写正确,默认为:`://
[:]/login/generic_oauth`。 + * 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://
[:]/login/generic_oauth`。 2. **Grafana配置修改**:编辑`grafana.ini`配置文件,修改的配置项如下所示: ```shell [server] @@ -39,9 +40,9 @@ # 固定值 scopes = openid # OAuth2认证登录登录地址 - auth_url = ://
[:]/login + auth_url = http[s]://
[:]/login # OAuth2认证获取Token接口 - token_url = ://
[:]/api/v1/sso/oauth/token + token_url = http[s]://
[:]/api/v1/sso/oauth/token # OAuth2认证获取用户信息接口 - api_url = ://
[:]/api/v1/sso/oauth/userinfo + api_url = http[s]://
[:]/api/v1/sso/oauth/userinfo ``` \ No newline at end of file diff --git a/deploy/sso_example/huawei_cloud.md b/deploy/sso_example/huawei_cloud.md index fb124d7..1694390 100644 --- a/deploy/sso_example/huawei_cloud.md +++ b/deploy/sso_example/huawei_cloud.md @@ -3,21 +3,27 @@ ## 配置方法 1. **创建身份提供商**:登录华为云,进入【统一身份认证】-【身份提供商】-【创建身份提供商】如下所示: ![img.png](img/huawei-create-idp.jpg) +配置说明: * 名称:指定一个名称,便于区分。 * 协议:选择`SAML`。 * 类型:建议使用`IAM用户SSO`,需要创建一个IAM实体用户。 * 状态:启用。 2. **身份提供商配置**:创建完身份提供商后点击【修改】进行配置,如下所示: ![img.png](img/huawei-idp-config.jpg) - IDP的元数据文件可以访问平台`://
[:]/api/v1/sso/saml/metadata`获取,将网页中的内容保存到本地`xml`格式的文件中上传即可。 - > **注意**:在此页面中的登录连接将用于后续单点登录使用。 + * IDP的元数据文件可以访问平台`http[s]://
[:]/api/v1/sso/saml/metadata`获取,将网页中的内容保存至`xml`格式的文件中上传即可。 + + 另外请保存登录地址,后续在平台注册站点时使用。 3. **创建IAM用户**:进入【统一身份认证】-【用户】-【创建用户】,如下图所示: ![img.png](img/huawei-create-user.jpg) +配置说明: * 用户名:登录用户名,与平台中用户的名保持一至。 - * 外部身份ID:与用户名保持一致。 + * 外部身份ID:与用户名保持一致。 + > **说明**:由于身份提供商的类型是IAM用户SSO,所以需要创建一个IAM实体用户,否则无法登录。 + 4. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将华为云站点信息注册到平台,配置如下所示: ![img.png](img/huawei-site.jpg) +配置说明: * 站点名称:指定一个名称,便于用户区分。 * 登录地址:华为云的登录地址,与华为云身份提供商配置界面保持一致。 * SSO认证:启用。 diff --git a/deploy/sso_example/jenkins.md b/deploy/sso_example/jenkins.md index 69e2d95..7a05918 100644 --- a/deploy/sso_example/jenkins.md +++ b/deploy/sso_example/jenkins.md @@ -3,20 +3,21 @@ ## 配置方法 1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Jenkins站点信息注册到平台,配置如下所示: ![img.png](img/jenkins-site.jpg) +配置说明: * 站点名称:指定一个名称,便于用户区分。 * 登录地址:Jenkins的登录地址。 * SSO认证:启用。 * 认证类型:选择`CAS3.0`。 * 站点描述:描述信息。 - * 回调地址:单点登录的回调地址,务必填写正确,默认为:`://
[:]/securityRealm/finishLogin`。 + * 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://
[:]/securityRealm/finishLogin`。 2. **插件安装**:登录到Jenkins并进入【系统管理】-【插件管理】,如下图所示: ![img.png](img/jenkins-plugin.png) 选中箭头指示的`CAS`插件,点击右上角的【安装】,安装完成重启Jenkins即可。 3. **插件配置**:登录到Jenkins并进入【系统管理】-【全局安全配置】,如下图所示: ![img.png](img/jenins-cas.jpg) - 请注意图中红色框,框中的配置项,必须填写正确。 +请注意图中红色框,框中的配置项,必须填写正确。 * 安全域:选择`CAS`。 - * CAS Server URL:CAS认证地址`://
[:]`。 + * CAS Server URL:CAS认证地址`http[s]://
[:]`。 * CAS Protocol:选择`CAS 3.0`。 * Full Name Attribute:更改为`name`。 * Email Attribute:更改为`email`。 \ No newline at end of file diff --git a/deploy/sso_example/jumpserver.md b/deploy/sso_example/jumpserver.md index a6e3e49..bd4b510 100644 --- a/deploy/sso_example/jumpserver.md +++ b/deploy/sso_example/jumpserver.md @@ -3,15 +3,17 @@ ## 配置方法 1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将JumpServer站点信息注册到平台,配置如下所示: ![img.png](img/jumpserver-site.jpg) +配置说明: * 站点名称:指定一个名称,便于用户区分。 * 登录地址:JumpServer的登录地址。 * SSO认证:启用。 * 认证类型:选择`OAuth2`。 * 站点描述:描述信息。 - * 回调地址:单点登录的回调地址,务必填写正确,默认为:`://
[:]/core/auth/oauth2/callback/`。 + * 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://
[:]/core/auth/oauth2/callback/`。 2. **JumpServer配置**:登录到JumpServer并进入【认证设置】,如下图所示: ![img.png](img/jumpserver-config1.jpg) ![img.png](img/jumpserver-config2.jpg) +配置说明: * 启用OAuth2认证:启用。 * 服务提供商:便于用户区分,在JumpServer登录页可以看到此名称。 * 图标:在登录的时候会展示。 @@ -19,10 +21,10 @@ * 客户端密钥:在平台站点详情中获取。 * Token获取方法:选择`POST`。 * 范围:指定为`openid`。 - * 授权端点地址:为`://
[:]/login`。 - * token端点地址:为`://
[:]/v1/sso/oauth/token`。 - * 用户信息端点地址:为`://
[:]/v1/sso/oauth/userinfo`。 - * 注销会话端点地址:为`://
[:]/logout`,平台不支持单点注销,所以此地址不会发生任何作用。 + * 授权端点地址:`http[s]://
[:]/login`。 + * token端点地址:`http[s]://
[:]/v1/sso/oauth/token`。 + * 用户信息端点地址:`http[s]://
[:]/v1/sso/oauth/userinfo`。 + * 注销会话端点地址:`http[s]://
[:]/logout`,平台不支持单点注销,此地址实际不会发生任何作用。 * 同步注销:不启用。 * 总是更新用户信息:启用。 * 用户属于映射:平台返回的字段有:`name`、`email`、`username`、`phone_number`可根据实际需要填写。 \ No newline at end of file diff --git a/deploy/sso_example/kubepi.md b/deploy/sso_example/kubepi.md index bd9c35d..f0199f1 100644 --- a/deploy/sso_example/kubepi.md +++ b/deploy/sso_example/kubepi.md @@ -3,16 +3,18 @@ ## 配置方法 1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Kubepi站点信息注册到平台,配置如下所示: ![img.png](img/kubepi-site.jpg) +配置说明: * 站点名称:指定一个名称,便于用户区分。 * 登录地址:Kubepi控制台的登录地址。 * SSO认证:启用。 * 认证类型:选择`OAuth2`。 * 站点描述:描述信息。 - * 回调地址:单点登录的回调地址,务必填写正确,默认为:`://
[:]/kubepi/api/v1/sso/callback`。 + * 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://
[:]/kubepi/api/v1/sso/callback`。 2. **Kubepi OIDC配置**:登录进Kubepi控制台,点击左侧【用户管理】-【SSO】如下图所示: ![img.png](img/kubepi-config.jpg) +配置说明: * 协议:选择`OpenID Connect`。 - * 接口地址:指定OIDC提供商(平台)的配置地址,默认`://
[:]`,Kubepi会默认在此路径后面加上`/.well-known/openid-configuration` + * 接口地址:指定OIDC提供商(平台)的配置地址,默认`http[s]://
[:]`,Kubepi会默认在此路径后面加上`/.well-known/openid-configuration` * 客户端ID:在平台站点详情中获取。 * 客户端密钥:在平台站点详情中获取。 填写完成后点击【Save】并重启Minio即可生效。 diff --git a/deploy/sso_example/minio.md b/deploy/sso_example/minio.md index df8e234..ffd1b95 100644 --- a/deploy/sso_example/minio.md +++ b/deploy/sso_example/minio.md @@ -3,17 +3,20 @@ ## 配置方法 1. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Minio站点信息注册到平台,配置如下所示: ![img.png](img/minio-site.jpg) +配置说明: * 站点名称:指定一个名称,便于用户区分。 * 登录地址:Minio控制台的登录地址。 * SSO认证:启用。 * 认证类型:选择`OAuth2`。 * 站点描述:描述信息。 - * 回调地址:单点登录的回调地址,务必填写正确,默认为:`://
[:]/oauth_callback`。 + * 回调地址:单点登录的回调地址,务必填写正确,默认为:`http[s]://
[:]/oauth_callback`。 2. **Minio OIDC配置**:登录进Minio控制台,点击左侧【Identity】-【OpenID】-【Create Configuration】创建一个OIDC的提供商,如下图所示: ![img.png](img/minio-config1.jpg) +配置说明: * Name:指定一个OIDC提供商的名称,建议是英文,经测试中文显示会有问题。 - * Config URL:指定OIDC提供商(平台)的配置地址,默认`://
[:]/.well-known/openid-configuration`。 + * Config URL:指定OIDC提供商(平台)的配置地址,默认`http[s]://
[:]/.well-known/openid-configuration`。 * Client ID:在平台站点详情中获取。 * Client Secret:在平台站点详情中获取。 - 填写完成后点击【Save】并重启Minio即可生效。 -> 说明:平台默认授与Minio用户的`policy`为`readwrite`,使用OIDC登录的用户对Minio存储桶和对象都拥有读写权限。 \ No newline at end of file + 填写完成后点击【Save】并重启Minio即可生效。 + + > 说明:默认授OIDC单点登录的用户的`policy`为`readwrite`。 \ No newline at end of file diff --git a/deploy/sso_example/tencent.md b/deploy/sso_example/tencent.md index 0bb3d4a..4edc49a 100644 --- a/deploy/sso_example/tencent.md +++ b/deploy/sso_example/tencent.md @@ -3,15 +3,15 @@ ## 配置方法 1. **创建身份提供商**:登录腾讯云,进入【访问管理】-【身份提供商】-【用户SSO】,默认SSO登录是未开启,点击另边的【编辑】开启SSO,如下图所示: ![img.png](img/tencent-config2.jpg) +配置说明: * 用户SSO:启用。 * SSO协议:`SAML`。 * SAML服务提供商元数据URL:此URL复制保存,后面在平台注册站点时需要。 - * 身份提供商元数据文档:IDP的元数据文件可以访问平台`://
[:]/api/v1/sso/saml/metadata`获取,将网页中的内容保存到本地`xml`格式的文件中上传即可。 -2. **创建CAM子用户**:接上步,进入【用户列表】-【】-【新建用户】,如下图所示: - * 用户名:登录用户名,与平台中用户的`username`保持一至。 - > **说明**:当启用SSO后,所有子用户都无法通过账号密码通过腾讯云控制台登录,都将统一跳转至IDP认证。 + * 身份提供商元数据文档:IDP的元数据文件可以访问平台`http[s]://
[:]/api/v1/sso/saml/metadata`获取,将网页中的内容保存到本地`xml`格式的文件中上传即可。 +2. **创建CAM子用户**:接上步,进入【用户列表】-【新建用户】,确保用户名与平台中用户的`username`保持一至。当启用SSO后,所有子用户都无法通过账号密码通过腾讯云控制台登录,都将统一跳转至IDP认证。 3. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将腾讯云站点信息注册到平台,配置如下所示: ![img.png](img/tencent-site.jpg) +配置说明: * 站点名称:指定一个名称,便于用户区分。 * 登录地址:腾讯的登录地址,默认为:`https://cloud.tencent.com/login/subAccount/<您的账号ID>?type=subAccount`。 * SSO认证:启用。 diff --git a/deploy/sso_example/zabbix.md b/deploy/sso_example/zabbix.md index 2884e56..0a75cf7 100644 --- a/deploy/sso_example/zabbix.md +++ b/deploy/sso_example/zabbix.md @@ -8,15 +8,17 @@ 3. **上传密钥和证书**:将`sp.key`、`sp.crt`、`idp.crt`上传到Zabbix站点的`ui/conf/certs/`目录下,除非`zabbix.conf.php`中提供了自定义路径,否则Zabbix默认在刚才的路径中查找文件。 4. **Zabbix单点登录配置**:登录到Zabbix,进入【认证】配置界面,如下图所示: ![img.png](img/zabbix-config.jpg) +配置说明: * 启用SAML身份验证:选中复选框以启用SAML身份验证。 - * IDP实体ID:ID的唯一标识符,此处为`://
[:]` - * SSO服务URL:用户登录时被重定向到的URL,此处为:`://
[:]/login` + * IDP实体ID:ID的唯一标识符,此处为`http[s]://
[:]` + * SSO服务URL:用户登录时被重定向到的URL,此处为:`http[s]://
[:]/login` * Username attribute:固定值`username` - * SP entity ID:通常为Zabbix的访问地址,如:`://
[:]` + * SP entity ID:通常为Zabbix的访问地址,如:`http[s]://
[:]` * SP name ID format:固定值`urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified` 其它选项按图示配置即可,另外也可以参考[官方文档](https://www.zabbix.com/documentation/6.0/zh/manual/web_interface/frontend_sections/administration/authentication#advanced-settings "官方文档")进行其它配置。 5. **站点注册**:登录到平台,点击【资产管理】-【站点管理】-【新增】将Zabbix站点信息注册到平台,配置如下所示: ![img.png](img/zabbix-config.jpg) +配置说明: * 站点名称:指定一个名称,便于用户区分。 * 登录地址:Zabbix的登录地址。 * SSO认证:启用。