细说研华WISE-PaaS上的SSO单点登录

WISE-PaaS动态播报

研华WISE-PaaS工业物联网云平台在不断地升级完善中,“研华智能地球”每周四为您播报其更新动态~

我们的WISE-PaaS免费试用申请,仍在进行中,感兴趣的小伙伴,文末报名哦~

随着云计算的飞速发展,越来越多的云应用、云服务充斥在日常的工作当中。

人们在享受信息化带来的便捷的同时,也遭受着应用系统反复登录,工作入口来回切换,数据消息接收不及时等诸多烦恼。伴随着业务系统数量的增加,用户会觉得自己身陷于越来越多的用户账号和密码需要记录,以便于使用各种云服务。

随着互联网的不断发展,单点登录(Single Sign On,简称SSO),获得了广泛的认可和应用。SSO是指在多个系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

研华的WISE-PaaS工业物联网云平台,就已为用户提供单点登录(SSO)服务。

研华WISE-PaaS提供的单点登录机制(SSO),用于管理云平台账户下资源访问权限。

为何要使用SSO?

方便用户,单一登录机制

使用云平台SaaS服务的用户仅需使用单一账号进行登录,即可取得所有被授权的应用程序的访问权限,改善用户使用应用系统的体验。

方便管理者,优化维护管理

系统管理员只需要维护一套统一的用户账号,优化管理的同时,减少了管理漏洞。

方便开发者,简化应用系统开发

方便开发者:云平台SaaS开发者通过整合SSO,无须额外开发帐户管理系统,有效节省了开发时间。

SSO具备以下特性:

简洁的特性

因为格式为JSON,相较于XML,JWTs可以作为一个URL、POST参数,或在HTTP Header内发送。此外,较小的size传输速度比较快不占用带宽。

独立的特性

凭证内容包含关于用户的信息,可以减少数据库查询来验证用户信息。

认证便利的特性

一旦使用者登录,每个后续请求都将凭证带在请求的表头,后端服务器收到请求即允许使用者存取该凭证 (token) 允许的路径、服务与资源。如今来说,单点登录是一个广泛使用JWT的特色,因为它简洁,又能够被容易地跨不同领域使用。

前后端统一支持的特性

同时支持前端网页(Frontend)与后端(Native)应用单点登录功能,确保最佳用户体验。

提供完整的Restful API

提供完整的Restful API供开发者整合,提高整合效率。

SSO提供如下功能:

1、 提供用户注册、用户管理及用户鉴别功能

注册账号需标识账号角色,且对应Cloud Foundry不同权限。通过使用Cloud Foundry的User Account and Authentication (UAA)对用户进行身份鉴别。

2、 提供保护机制防范恶意尝试

WISE-PaaS工业物联网云平台目前要求提供登录功能的环境,均已整合SSO,提供身份验证功能。

当用户输入错误的凭证时,将认证失败,无法登录平台。

限制凭证连续输入错误的次数。当超过上限次数后,会导致帐户锁定,需要等待解锁时间并尝试使用正确的凭据。

SSO提供的Token存在有效时长。成功登录平台应用后,若无其他操作,超过有效期后自动将用户登出。

3、 提供并启用用户身份标识唯一检查功能、用户鉴别信息复杂度检查功能

用户名称策略:SSO使用Email作为用户身份的唯一标识,并对Email格式提供检查,凡是正确的、不重复的Email均可以注册账户。

密码认证:用户访问云平台应用时,需要密码认证。同时,该密码也可以用于API方式访问云平台应用资源。

密码策略:用户设置密码需满足密码策略,防止用户使用简单密码导致账号泄露。

4、 采用加密方式存储用户的账号和口令信息

用户的账号以及密码信息,只由Cloud Foundry UAA使用bcrypt加密存储在MySQL数据库,保证用户的密码信息安全。

5、平台业务访问控制

WISE-PaaS 云平台提供多租户的服务,租户之间的权限和数据是完全隔离的。

您的账户下有多个应用服务及解决方案包(SRP)的实例部署在不同租户管理空间中,为了加强权限控制,对资源进行授权,您本身为租户管理员(由平台管理所分配授权),可以再建立子账户绑定不同授权角色分别为平台管理员(admin)、租户管理员(tenant)、租户开发者(developer)和SRP用户(srpUser)。

admin为平台管理员,具有管理所有Organization的权限,可以管理角色为 tenant / developer 的账户。但不能访问租户应用,保护租户的资源。

tenant为Organization管理员,可以管理 organization 中的账号、APP、Services。

developer主要功能为开发应用 (App),由 tenant的账户建立,可以管理被授权的Space中的APP与Services。

srpUser特别为APP创建的角色,App可运用srpUser 进行平台统一的使用者身份验证,再透过App对srpUser授权,决定srpUser在App中可执行的功能。

6、数据访问控制

使用WISE-PaaS云平台的数据库服务、IoT Hub服务,需要用户的账号拥有使用Space的权限(SSO developer权限及以上),并在Space中创建相应服务的Service Instance,取得连线凭证,获得访问自己的数据的权限。

目前WISE-PaaS云平台的微服务,如AFS、WISE-PaaS/Dashboard、SaaS Composer等均已经整合SSO服务。

此外,云平台提供的解决方案套件,如WISE-PaaS/EdgeSense、WebAccess等的前端网页、后端接口也已经整合SSO服务。

如此,租户通过使用相应权限的账户,即可以享用云平台的微服务以及解决方案套件。

感兴趣的小伙伴

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180802A0N59000?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券