2.3 资源管理
2.3.3 配置应用
配置应用包括通用信息、认证配置、同步配置、登录配置、访问控制、对象模型、授 权管理、API权限、应用侧权限、审计日志。
本章主要介绍应用的配置方法,该方法同时适用于自建应用和预集成应用。
通用信息
● 接口认证凭证
– ClientId:接口认证凭证ID,注册应用后,由系统自动分配。
– ClientSecret:接口认证凭证密钥,注册应用后,单击“启用”获取。
说明
如不慎丢失访问密钥,请单击“重置”获取新的访问密钥。
● 应用信息
包含应用LOGO和应用名称,可修改。
● 集成信息
– 认证集成:企业应用与OneAccess认证集成的协议,一旦设置不可修改。
– 同步集成:企业应用与OneAccess同步集成的方式,一旦设置不可修改。
● 其他信息
应用显示指应用在用户门户首页的显示方式,包含▪自动显示、▪固定显示、▪不显 示三种方式。
– 自动显示:有该应用账号的用户在登录用户门户后,首页显示该应用。
– 固定显示:所有用户在登录用户门户后,首页都显示该应用。
– 不显示:所有用户在登录用户门户后,首页都不显示该应用。
认证配置
认证配置包括参数配置和映射配置,认证集成的方式不同,此处需配置的参数也不 同。具体可参考:
● SAML协议的认证配置可参考:表2-6。
● OAuth协议的认证配置可参考:认证配置。
● OIDC协议的认证配置可参考:认证配置。
● CAS协议的认证配置可参考:认证配置。
● 插件代填方式的认证配置可参考:认证配置。
映射配置,即认证成功后需要返回给应用的属性,以建立OneAccess与应用侧属性的 映射关系。包括•添加映射、•编辑映射、•删除映射。
● 添加映射
以SAML协议为例,说明添加映射的方法。
a. 在认证配置页面,选择“映射配置”页签,单击“添加映射”,填写表单信 息。
图2-44 添加映射
表2-7 映射参数
参数 说明
* 应用系统属性
名 企业应用的用户属性名称。即认证成功后,OneAccess 返回给应用的用户属性。
参数 说明
* 映射类型 不同的映射类型决定不同的接口在认证成功后返回的属 性值,可在下拉框选择。
● 用户属性:将OneAccess的用户属性返回给下游企业 应用。
● 账号属性:将应用的账号属性返回给下游企业应 用。
● 账号权限:将应用的账号权限返回给下游企业应 用。当下游应用需要OneAccess用户携带权限信息返 回时,可通过该配置实现。
● 社交属性:将OneAccess用户绑定的社交属性值返回 给下游企业应用。
* 用户属性名 OneAccess映射至应用的属性,可在下拉框选择。该属 性的选项随映射类型变化。
* Friendly Name 与应用系统属性名一致。当认证协议为SAML时,可配 置该参数。
* Attr Name
Format SAML协议返回的一种数据格式,可在下拉框选择。
b. 单击“测试”,进入选择用户页面,输入用户名选择用户后,可测试添加的 映射关系。
图2-45 测试
图2-46 测试映射关系
● 编辑映射
单击映射操作列的“编辑”,可修改映射。
● 删除映射
单击映射操作列的“删除”,可删除映射。如需再次添加,可参考:•添加映射。
同步配置
同步配置包括参数配置和常规配置,同步集成的方式不同,此处需配置的参数也不 同。具体可参考:
● 事件回调的同步配置可参考:事件回调配置。
● SCIM协议的同步配置可参考:同步配置。
● LDAP协议的同步配置可参考:同步配置。
当同步方式为事件回调时,可实现全量同步。具体可参考:全量同步。
常规配置,即同步时的映射关系,默认启用,包括•删除账号、•删除机构、•禁用机 构。
图2-47 常规配置
● 删除账号
当OneAccess删除应用账号后,下游应用系统根据该配置决定需执行的操作,可 在下拉框选择,包括删除应用系统中的账号、禁用应用系统中的账号、不同步。
● 删除机构
当OneAccess删除应用机构后,下游应用系统根据该配置决定需执行的操作,可 在下拉框选择,包括删除应用系统中的机构、禁用应用系统中的机构、不同步。
● 禁用机构
当OneAccess禁用应用账号后,下游应用系统根据该配置决定需执行的操作,可 在下拉框选择,包括禁用应用系统中的账号、不同步。
登录配置
OneAccess支持对每个应用配置独立的登录认证方式,包括•网站应用、•移动应用、•
公众号。
● 网站应用
配置企业用户从PC端通过浏览器访问应用时的登录认证方式。开启认证方式的前 提是添加相应认证源,具体可参考:集成认证源。
AD、LDAP认证会占用密码登录方式的输入框,故密码认证、AD认证、LDAP认证 只允许同时开启一种。
配置ID、挂接URL由系统自动生成,可通过浏览器访问挂接URL登录应用,该URL 可编辑。
● 移动应用
配置企业用户从移动端访问应用时的登录认证方式。开启认证方式的前提是添加 相应认证源,具体可参考:集成认证源。
AD、LDAP认证会占用密码登录方式的输入框,故密码认证、AD认证、LDAP认证 只允许同时开启一种。
配置ID、挂接URL由系统自动生成,可在移动端访问挂接URL登录应用,该URL可 编辑。
● 公众号
配置企业用户通过微信公众号免密登录企业应用。添加配置的前提是添加微信公 众号认证源。
在配置公众号页面,单击“添加配置”,进入添加微信公众号页面,选择认证源 即可。添加完成后,系统自动生成配置ID、挂接URL,单击操作列的“查看URL”
可查看该URL,如需删除,单击“删除”即可。
访问控制
访问控制是对已授权用户的行为进行风险管控,如果用户未授权访问应用的权限,则 策略对该用户不生效。配置应用访问控制策略前,需开启访问控制策略,即配置默认 策略。配置多条应用访问控制策略后,可调整其优先级。
图2-48 调整策略优先级
当企业用户访问应用时,根据自定义策略的优先级进行匹配,如果匹配失败,将通过 默认策略判断用户是否可以访问。
关闭默认策略后,将清空所有策略且无法恢复,请谨慎操作。以下介绍配置自定义策 略的方法。
1. 在访问控制页面,开启访问控制策略,配置默认策略。
2. 配置完成后,单击“添加策略”,配置访问控制参数。
图2-49 添加策略
图2-50 配置访问控制参数
表2-8 策略参数
● 桌面端:Windows、Linux、MacOs、其他。
● 移动端:Android、IOS、其他。
区域范围 ● 访问应用的区域,可在下拉框选择。
● 如需指定具体的区域,单击“配置区域范围”配置区域,具 体方法请参考:区域范围。
认证源类型 指定访问应用的认证源,可在下拉框选择。
参数 说明
THEN 是否允许访问应用。当选择“二次认证”时,需配置二次认证频 率和二次认证方式。
● 二次认证频率:在访问凭证有效期内,指定访问应用的频 率。
● 二次认证方式:指定认证方式。
● 当勾选OTP后,用户登录二次认证时可按照页面提示获取动态 口令,可参考动态口令配置查看具体配置。
● 当二次认证方式勾选多个后,用户登录二次认证时,可选择 二次认证方式。
对象模型
对象模型是OneAccess的数据同步至下游应用的基础,包括•应用账号模型和•应用机构 模型。
在开启同步配置后,OneAccess已定义了账号名、姓名、应用机构等常规的内置属 性,如需同步更多的属性,可通过在对象模型处添加属性并配置映射实现。同步时,
需保持添加的属性名与应用的属性名一致。
当配置同步集成方式为LDAP后,在添加账号属性、机构属性时,OneAccess已内置属 性名,可在下拉框选取。
● 应用账号模型
a. 在应用账号模型页面,选择“属性定义”页签,单击“添加”,配置应用的 账号属性。
图2-51 添加属性
图2-52 配置属性参数
表2-9 属性参数
参数 说明
* 属性名 应用账号的属性名称。
* 显示标签 属性名称的标识,建议与属性名对应。
描述 属性名的说明。
* 属性类型 属性值的类型,可在下拉框选择。
格式 属性类型的格式,可在下拉框选择。
必填 勾选后,同步用户数据至应用时,该属性必须有值,为空 时,会提示“{显示标签}为必填属性”。
b. 分别单击属性操作列的“更新”、“删除”可编辑、删除账号的属性,对于 内置属性,不支持删除操作。
c. 选择“映射定义”页签,单击“编辑”,配置账号属性的映射关系。
为了避免同步异常,建议添加的账号属性与需要映射的用户属性类型保持一 致。
图2-53 编辑映射
表2-10 映射参数
参数 说明
用户 映射至应用账号的用户属性,可在下拉框选择。
转换方式 用户与应用账号属性之间的映射方式,可在下拉框选择。
脚本表达式 填写映射脚本。具体可参考:如何开发映射脚本。
执行方式 应用账号属性的同步方式,可在下拉框选择。
应用账号 应用账号属性的显示标签。
● 应用机构模型
配置应用机构模型前需开启应用机构,配置方法与应用账号模型类似,具体可参 考:•应用账号模型。
为了避免同步异常,建议添加的机构属性与需要映射的组织属性类型保持一致。
图2-54 开启应用机构
授权管理
授权管理是对企业用户、机构进行统一的授权和管理,主要包括•应用账号、•应用机 构、•同步事件、•孤儿账号、•公共账号。
● 应用账号
管理OneAccess用户与应用侧账号之间的绑定关系,即一个OneAccess用户可以对 应多个不同应用系统的应用账号,实现一对多的映射关系。 通过线下梳理OneAccess用户和存量账号的绑定关系后,批量导入应用账号 中,也可以批量导入存量账号到孤儿账号中,再通过绑定OneAccess用户关 联这些存量账号。具体可参考:•应用账号导入,
– 授权策略
授权策略可自动授予、删除用户访问应用的权限,方便您对企业应用的用户 权限进行统一管理和维护。
当开启用户自动授权后,对所授权的组织添加用户、删除用户、调整用户组 织,对所授权的用户组添加、删除用户,可自动同步至应用中。
当开启用户自动授权后,对所授权的组织添加用户、删除用户、调整用户组 织,对所授权的用户组添加、删除用户,可自动同步至应用中。