#原创分享#atrust2.1.17版本,对接广东-粤政易案例分享【全配置】
  

魏少明明明明 55967人觉得有帮助

{{ttag.title}}
本帖最后由 魏少明明明明 于 2023-11-28 09:27 编辑

对接了两年,太艰难了,分享全配置干货,由于涉及政府客户敏感数据,已脱敏。
再次谢谢各位配合调试的研发大佬和专家,看完麻烦点个赞,广东第一例。

背景
      原来粤政易的登陆方式,通过公网登陆,可以被监听,无法做日志追溯。
现通过粤政易集成atrust的SDK方式登陆做加强认证,做安全策略,日志追溯。

粤政易SDK的数据流走向

数据流程
1、点击应用图标时,这个过程会拉起atrust的sdk封装的miniconect的隧道,直接返回到atrust的登录地址做认证
2、atust拿着认证过程客户端返回的信息找省统一身份认证的服务器拿到对应的用户信息
3、完成认证后,通过atrsut授权应用,返回到redirect地址(也就是业务地址)完成整个过程的无感知

2.1.17 综合网关,详细版本信息-对接粤政易测试环境

aTrust2.1.17
SDP-ONE2.1.17.152 B Build20220222
SP_aTrust_CL-CM_02_build20220406222430_20220413011444
SP_aTrust_improve-CGM_01_build20220408162353_20220413011608
SP_aTrust_improve_02_build20220510185226_20220510200219_CGM
SP_aTrust_NewPlatform-CGM_01_build20220429104518_20220511023047
Custom-built (1 20230506105750)-i-ZHSJWQ(20230508192643)-w17437-aTrust-2021122803

2.2.16 分离式部署,详细版本信息如下-对接粤政易正式环境
控制中心版本信息
aTrust2.2.16
SDPC2.2.16.553 Build20230518
SP_aTrust_RD_03_build20230603140054_20230821144414_CGM
SP_aTrust_JG_01_build20230603094215_20230821144440_CGM
SP_aTrust_TK_02_build20230616101844_20230821144508_CGM
SP_aTrust_SA2216_01_build20230531164744_20230821144758_CGM
SP_aTrust_IMPROVE_01_20230616210702_20230821144919_CGM
SP_aTrust_2216CL_03_build20230808184040_20230821151936_CM
SP_aTrust_S1035M_01_build20230811105548_20230821153238_CGM
SP_aTrust_Admin_01_build20230829211825_20230830132549_CGM
SP_aTrust_ETCD_01_build20230712105004_20231009114242_CM
SP_aTrust_StableImprove_01_build20230810190700_20231009120304_CGM
Custom-built (1 20230608163102)-i-zhuhaishizhengwufuwushujuguanliju-CM(20231009140622)-xyg27777-aTrust-2023051701
KylinUOSUbuntuClient2.2.16.10_Build20230518

==========================================

代理网关版本信息
aTrust2.2.16
PROXY2.2.16.553 Build20230518
SP_aTrust_RD_03_build20230603140054_20230821144414_CGM
SP_aTrust_JG_01_build20230603094215_20230821144440_CGM
SP_aTrust_TK_02_build20230616101844_20230821144508_CGM
SP_aTrust_SA2216_01_build20230531164744_20230821144758_CGM
SP_aTrust_IMPROVE_01_20230616210702_20230821144919_CGM
SP_aTrust_2216CL_03_build20230808184040_20230821151936_CM
SP_aTrust_S1035M_01_build20230811105548_20230821153238_CGM
SP_aTrust_StableImprove_01_build20230810190700_20230830131710_CGM
SP_aTrust_Admin_01_build20230829211825_20230830132549_CGM
SP_aTrust_RW_02_build20230419103231_20231013020908_CM
SP_aTrust_ETCD_01_build20230712105004_20231013020941_CM

==========================================


提前获取客户应用五元素
passid、Token、Agentid、Secret、CorpID 目的是通过粤政易前的鉴权网关,如下:
362066464979cc0424.png


设备清单
以下是综合网关的测试方案
拓扑结构:atrust综合网关旁挂在核心交换机,
综后续客户对用户数有要求,可以换成分离式部署,最佳实践也是分离式部署

设备配置

1、授权管理:可查看设备ID和设备授权的功能模块
4630964649e1b0810a.png

2、接口信息:配置设备接口,查看接口IP,部署模式

7278764649e2e7ec7c.png


3、配置默认路由,保证管理口对其他网段的IP网络可达

24492646498b6e23b1.png

4、配置外网接入地址https://域名:端口
94601646498f90c508.png


5、配置IP+隧道端口441

87809646499364656c.png
6、更新域名证书,这里只支持导入pfx p12格式,这里还需要单独提供额外解密的密码
22497646499680881a.png

1954964649984167e7.png


7 开启集群特性 -企业微信

4219064649a4256365.png

8 新建粤政易用户目录

584616464999b4f8f5.png

63307646499d7e68fd.png


9  新建认证服务器-企业微信
由于目前定制包还没有合入大版本,打完定制包以后,增加了passid和token参数,目前这里可以把/ebus/yzyapi取消,测试与粤政易连通性


8180664649ad3451b7.png

关联用户目录-粤政易
3387464649af387544.png

10 .新建应用并授权应用

2458464649b296e5ea.png

找到企业微信目录,关联应用
1764064649a0bc090c.png

粤政易登陆-业务验证
这里app集成了很多应用,已脱敏

第一步,点击应用
5816164649b7a30c0b.png
第二步 拉起miniconnect隧道,去省平台获取身份信息,做认证
1194864649b9ee7460.png
第三步  鉴权成功以后,登陆业务
6446164649bb4b77ea.png

第四步  进入应用工作台
7858164649bba71700.png

在拉起完隧道以后,登陆atrsut,可以看到atrsut,有用户在线
836286464a688d4c96.png

FAQ记录

问题1:上线到测试环境前,应用侧需要邮件申请,找省数广申请应用ID参数passid、Token、Agentid、Secret、CorpID,同时提供重定向url的,如下,这里格式记得,要有atrust域名地址+后面redirecturl=【这里由应用提供】

6528764649c5a07249.png


问题2:对接粤政易过程如果出现,“服务器证书不可信,请重新加载”这里需要导入域名证书到atrust上。

2059364649c6572423.png

问题3:上线到正式环境以后(这里是否测试环境取决于粤政易的服务器设置),由应用厂家那边提供申请,到省数广,申请应用切换,此时应用的passid、Token、Agentid、Secret、CorpID会变成新的参数,粤政易地址也会变,需要重新填写到atrust。

问题4:当atrust显示用户上线以后,这里只atrust已经拉起隧道,并通过省身份的认证,如果移动端访问不到,就需要应用侧看看日志是什么,由应用排查,如图所示


2885064649c9b95a31.png


问题5:


【各地市单位需要共享一套atrust,实现应用-对接粤政易场景联调】
【背景】
1、由于应用的passid和token是独立的,有各单位权限管控,部分自建vpn,不便共享给其他单位。需要跟市政数局沟通,会单独申请一个应用“xxx地市vpn”作为vpn共享使用,调用里面的五元素,如passid和token,去拉起隧道。

【后续方案】
1、各局申请自建vpn的时候,需要额外找省数广申请“xxx地市vpn”权限
2、后续各单位要访问自建vpn,只需要改对应下方的redirecturl=

使用测试账号登陆测试环境的粤政易,点击自己地市申请的vpn显示为这个
1394651278f298021.png


各单位应用上线的流程:

第一步:先让应用侧在【粤政易】正式环境,上线应用,使用oau2.0的协议上线,这块由应用与数广对接。
第二步:确认应用能在粤政易正常登录以后,需要应用提供测试环境的IP和端口,确保atrust(vpn)和各应用系统网络可达
第三步:应用侧需要发邮件给省数广修改重定向链接或以下步骤
    ---1.业务应用管理员,政务外网环境登录:https://xtbgsafe.gdzwfw.gov.cn/appmanagesafe/safe/appmgr/#/index
    ---2.左侧菜单栏找到业务应用管理-本单位建设业务应用,若无栏目权限,则用户不是业务应用管理员;
    ---3.找到所需配置的应用
    ---4.右侧点击设置-打开业务应用详情界面,展开应用详情查看或右上角编辑按钮修改,修改时域名变更注意增加可信域名。
第四步:新应用可以,使用共享vpn的隧道参数如token+passid来拉起隧道,访问来访问各单位自建应用


修改粤政易--工作台重定向的链接内容如下:
单点地址:https://域名:18443/portal/qywx.html?redirecturl=http%3A%2F%2F应用地址%3A9900%2Fcmcuapi%2Fsso%2Foauth2

需要应用侧把redirecturl=改成转码以后的格式给数广修改,或上方第三步,应用管理员修改。

总结
本次测试安装atrust2.1.17版本,测试登陆粤政易成功。





打赏鼓励作者,期待更多好文!

打赏
17人已打赏

重置☜ 发表于 2023-5-17 17:34
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
风起 发表于 2023-5-17 17:36
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
董健 发表于 2023-5-17 17:36
  
666666,膜拜大佬
hewenshu 发表于 2023-5-17 17:37
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
苍狗长风 发表于 2023-5-17 17:47
  
从梳理客户背景开始到客户需求准确切入至设备交付完成,还总结了FAQ,这也太赞了吧!奥特曼都要为你点赞✿✿ヽ(°▽°)ノ✿
魔怔人 发表于 2023-5-17 18:05
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
新手612152 发表于 2023-5-18 10:05
  
楼主分享的案例很实用,具有典型性
新手780102 发表于 2023-5-18 10:10
  
楼主分享的案例很实用,具有典型性
新手741261 发表于 2023-5-18 10:19
  

楼主分享的案例很实用,具有典型性
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人