本帖最后由 lcy 于 2021-9-30 16:00 编辑
一、需求部署 1、客户需求 某集团为了增加安全性,需要在登录各个平台前先进行身份认证,并且只使用一套账号密码登录各个应用,用户需要从外网和内网登录零信任时都先做身份认证,并实现单点登录
2、需求分析 零信任是发布在公网的,如果在外网实现登录零信任时先进行IDT身份认证,需要将IDT客户端口直接发布在公网,或者通过零信任的代理网关发布免认证应用,将IDT端口映射出去。内网需要将IDT的域名解析到对应的IP。
3、实际操作 零信任和IDT的网络配置略过,以下主要是IDT和零信任的对接过程。
在【应用管理】中新建应用,URL填写零信任公网IP或域名
选择使用标准协议OAuth2.0对接,设置登录零信任互跳转到IDT的URL地址,格式如下 https:// [atrust/passport/v1/auth/oauth2 将client id和client secret记下,用于和零信任Oauth认证对接凭证
填写相应的字段映射
给需要使用零信任的用户授权应用
二、零信任配置
添加oauth2.0认证 code为代理网关在公网可以解析到的域名,或者是IDT在公网可以被解析到的域名
Token和用户信息请求地址都为IDT地址,获取用户信息的字段要和IDT对应,Token和用户请求地址格式如下: Token:https//[idtrust地址]/oauth2/token 用户信息请求地址:https://[IDT地址]/oauth2/get_user_info
用户注销地址为外网可以解析到的地址,格式如下: https://[atrust地址]/oauth2/user_logout
需要在登录atrust之前先进行IDT身份认证,因此要发布免认证应用 前端地址为外网可以解析到的域名,后端地址为IDT地址
效果 1、登录零信任跳转到IDT认证 在浏览器输入零信任网址进行登录,会跳转到IDT认证界面
2、先登录IDT,点开零信任实现单点登录
点击零信任应用后IDT自动上线,SSO认证时其中一个应用上线IDT就会自动上线,IDT上线后SSO应用之间可以实现单点登录 |