细说研华WISE-PaaS上的SSO单点登录

WISE-PaaS动态播报

研华WISE-PaaS工业物联网云平台在不断地升级完善中，“研华智能地球”每周四为您播报其更新动态~

我们的WISE-PaaS免费试用申请，仍在进行中，感兴趣的小伙伴，文末报名哦~

随着云计算的飞速发展，越来越多的云应用、云服务充斥在日常的工作当中。

人们在享受信息化带来的便捷的同时，也遭受着应用系统反复登录，工作入口来回切换，数据消息接收不及时等诸多烦恼。伴随着业务系统数量的增加，用户会觉得自己身陷于越来越多的用户账号和密码需要记录，以便于使用各种云服务。

随着互联网的不断发展，单点登录（Single Sign On，简称SSO），获得了广泛的认可和应用。SSO是指在多个系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

研华的WISE-PaaS工业物联网云平台，就已为用户提供单点登录（SSO）服务。

研华WISE-PaaS提供的单点登录机制（SSO），用于管理云平台账户下资源访问权限。

为何要使用SSO？

方便用户，单一登录机制

使用云平台SaaS服务的用户仅需使用单一账号进行登录，即可取得所有被授权的应用程序的访问权限，改善用户使用应用系统的体验。

方便管理者，优化维护管理

系统管理员只需要维护一套统一的用户账号，优化管理的同时，减少了管理漏洞。

方便开发者，简化应用系统开发

方便开发者：云平台SaaS开发者通过整合SSO，无须额外开发帐户管理系统，有效节省了开发时间。

SSO具备以下特性：

简洁的特性

因为格式为JSON，相较于XML，JWTs可以作为一个URL、POST参数，或在HTTP Header内发送。此外，较小的size传输速度比较快不占用带宽。

独立的特性

凭证内容包含关于用户的信息，可以减少数据库查询来验证用户信息。

认证便利的特性

一旦使用者登录，每个后续请求都将凭证带在请求的表头，后端服务器收到请求即允许使用者存取该凭证 (token) 允许的路径、服务与资源。如今来说，单点登录是一个广泛使用JWT的特色，因为它简洁，又能够被容易地跨不同领域使用。

前后端统一支持的特性

同时支持前端网页（Frontend）与后端（Native）应用单点登录功能，确保最佳用户体验。

提供完整的Restful API

提供完整的Restful API供开发者整合，提高整合效率。

SSO提供如下功能：

1、 提供用户注册、用户管理及用户鉴别功能

注册账号需标识账号角色，且对应Cloud Foundry不同权限。通过使用Cloud Foundry的User Account and Authentication (UAA)对用户进行身份鉴别。

2、 提供保护机制防范恶意尝试

WISE-PaaS工业物联网云平台目前要求提供登录功能的环境，均已整合SSO，提供身份验证功能。

当用户输入错误的凭证时，将认证失败，无法登录平台。

限制凭证连续输入错误的次数。当超过上限次数后，会导致帐户锁定，需要等待解锁时间并尝试使用正确的凭据。

SSO提供的Token存在有效时长。成功登录平台应用后，若无其他操作，超过有效期后自动将用户登出。

3、 提供并启用用户身份标识唯一检查功能、用户鉴别信息复杂度检查功能

用户名称策略：SSO使用Email作为用户身份的唯一标识，并对Email格式提供检查，凡是正确的、不重复的Email均可以注册账户。

密码认证：用户访问云平台应用时，需要密码认证。同时，该密码也可以用于API方式访问云平台应用资源。

密码策略：用户设置密码需满足密码策略，防止用户使用简单密码导致账号泄露。

4、 采用加密方式存储用户的账号和口令信息

用户的账号以及密码信息，只由Cloud Foundry UAA使用bcrypt加密存储在MySQL数据库，保证用户的密码信息安全。

5、平台业务访问控制

WISE-PaaS 云平台提供多租户的服务，租户之间的权限和数据是完全隔离的。

您的账户下有多个应用服务及解决方案包(SRP)的实例部署在不同租户管理空间中，为了加强权限控制，对资源进行授权，您本身为租户管理员(由平台管理所分配授权)，可以再建立子账户绑定不同授权角色分别为平台管理员（admin）、租户管理员（tenant）、租户开发者（developer）和SRP用户（srpUser）。

admin为平台管理员，具有管理所有Organization的权限，可以管理角色为 tenant / developer 的账户。但不能访问租户应用，保护租户的资源。

tenant为Organization管理员，可以管理 organization 中的账号、APP、Services。

developer主要功能为开发应用 (App)，由 tenant的账户建立，可以管理被授权的Space中的APP与Services。

srpUser特别为APP创建的角色，App可运用srpUser 进行平台统一的使用者身份验证，再透过App对srpUser授权，决定srpUser在App中可执行的功能。

6、数据访问控制

使用WISE-PaaS云平台的数据库服务、IoT Hub服务，需要用户的账号拥有使用Space的权限（SSO developer权限及以上），并在Space中创建相应服务的Service Instance，取得连线凭证，获得访问自己的数据的权限。

目前WISE-PaaS云平台的微服务，如AFS、WISE-PaaS/Dashboard、SaaS Composer等均已经整合SSO服务。

此外，云平台提供的解决方案套件，如WISE-PaaS/EdgeSense、WebAccess等的前端网页、后端接口也已经整合SSO服务。

如此，租户通过使用相应权限的账户，即可以享用云平台的微服务以及解决方案套件。

感兴趣的小伙伴