安全认证网关单点登录
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,它允许用户通过一次登录操作来访问多个系统或应用程序,这种机制极大地提高了用户体验,减少了频繁登录的繁琐过程,同时也增强了安全性,因为用户只需要记住一个密码,在实现单点登录的过程中,安全认证网关起到了至关重要的作用,以下是关于安全认证网关单点登录的一些详细解答:
一、前提条件
1、已部署应用到ASM实例关联的集群:确保您的应用已经成功部署到了与ASM实例相关联的集群中。
2、已为命名空间注入Sidecar:Sidecar是一个边车代理,用于拦截和处理进出应用容器的网络请求,具体操作请参见配置Sidecar注入策略的相关文档。
3、已创建ASM入口网关并获取网关地址:您需要先创建一个ASM入口网关,并获取其地址,以便后续配置使用。
4、已完成IdP(身份提供商)的配置:这是实现单点登录的关键步骤,您需要选择一个符合OIDC标准的身份提供者,如阿里云IDaaS,并进行相应的配置。
二、操作步骤
1、登录ASM控制台:在左侧导航栏选择“服务网格”->“网格管理”。
2、选择目标实例:单击目标实例名称,然后在左侧导航栏选择“ASM网关”->“入口网关”。
3、配置OIDC单点登录:在入口网关页面,单击目标网关名称,进入网关概览页面,在左侧导航栏选择“网关安全”->“OIDC单点登录”,打开“启用网关OIDC单点登录”开关,进行相关配置,然后单击“下一步”。
三、配置项说明
| 配置项 | 说明 |
| 登录重定向地址 | 本文选择使用网关IP地址和http协议。 |
| callback地址 | 重定向地址。 |
| OIDC颁发者URL | 用于标识和验证OpenID Connect提供者的URL。 |
| 颁发者提供的客户端ID(ClientID) | 颁发者提供的客户端ID。 |
| 颁发者提供的客户端密钥(ClientSecret) | 颁发者提供的客户端密钥。 |
| Cookie密钥 | Secure Cookies的种子(支持Base64编码)。 |
| Cookie过期时间 | 到达该时间后刷新Cookie,设置为0表示关闭刷新。 |
| Cookie刷新时间 | 每间隔该时间刷新Cookie,设置为0表示关闭。 |
| 用户信息范围Scopes | 指定获取的Scopes,指定的Scope必须被Issuer支持。 |
四、匹配规则配置
在匹配规则配置向导中,您可以选择是否所有请求都需要经过认证,或者仅特定路径的请求需要经过认证,您可以配置HTTP路径为/productpage的请求必须经过OIDC认证。
五、验证配置
完成配置后,您可以使用浏览器访问http://${ASM网关地址}/productpage,验证OIDC单点登录配置是否生效,如果登录后能够成功访问,则表明配置生效。
相关问题与解答
问:在网关上接入OIDC之后,应用是否还需要获取access token或直接向IdP请求用户信息?
答:在网关上接入OIDC之后,应用无需关注任何与IdP认证鉴权相关的逻辑,您的应用收到的请求中会携带一个Key为Authorization的Header,这个Header是在请求经过网关时被添加上的,该Header是一个来自IdP的JWT,JWT的Payload中包含了应用所需的用户信息,并且经过了网关的JWT验证,您的应用无需再重复对该JWT进行验证,应用直接从请求中解析这个Header即可,无需向IdP请求用户信息。
问:接入OIDC之后,浏览器上登录时发现多了一个Cookie,这个Cookie是否对应用有意义?
答:这个Cookie是网关记录当前会话的状态,对应用本身没有意义,应用只需要读取请求中的JWT即可。
到此,以上就是小编对于“安全认证网关单点登录”的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/17285.html<
