背景說明
當前Dataphin支援多套帳號系統同時登入Dataphin,使用者可將自身的多種登入方式都關聯至已有帳號。如果使用者使用過初始帳號,則在對接SSO後,將SSO帳號和初始化帳號的UID進行綁定。
添加登入方式
在Dataphin Manager首頁的頂部功能表列中單擊系統配置,在左側導覽列中選擇登入設定。
在登入設定頁面,單擊添加登入方式。
跟隨設定精靈進行協議配置和帳號映射。
協議配置
說明每種登入方式僅允許選擇一次,已建立的登入方式不可再次選擇。
CAS協議
認證服務配置
參數
描述
請選擇登入方式
選擇CAS協議。
系統名稱
在登入頁面中,當前登入方式的名稱,預設為CAS登入。
系統Icon
在登入頁面中,當前登入方式的展示表徵圖。
支援上傳PNG和JPG格式、200K以內的圖片,若未上傳,則使用預設表徵圖。
系統說明(非必填)
對當前系統的簡單說明。
CAS版本
可選擇CAS2或CAS3。
證明伺服器地址
輸入CAS證明伺服器地址,填寫完成後單擊測試網路連接,測試連接不通過時,無法單擊提交並下一步。
證明伺服器登入地址
輸入CAS證明伺服器登入地址,填寫完成後單擊測試網路連接,測試連接不通過時,無法單擊提交並下一步。
證明伺服器登出地址
輸入CAS證明伺服器登出地址。
登入到期時間
登入態的失效時間,失效後將重新發起登入態校正,最長可設定為1440分鐘(24小時)。
使用者資訊配置
參數
描述
來源系統中使用者ID對應的Key
輸入來源系統中使用者ID對應的Key。
來源系統中使用者名稱對應的Key
輸入來源系統中使用者名稱對應的Key,如果不存在則填寫使用者ID對應的Key。
來源系統中帳號對應的Key
輸入來源系統中帳號對應的Key,如果不存在則填寫使用者ID對應的Key。
來源系統中手機號對應的Key(非必填)
輸入來源系統中手機號對應的Key。
來源系統中郵箱對應的Key(非必填)
輸入來源系統中郵箱對應的Key。
OAuth2.0
認證服務配置
參數
描述
請選擇登入方式
選擇OAuth2.0。
系統名稱
在登入頁面中,當前登入方式的名稱,預設為OAuth2.0登入。
系統Icon
在登入頁面中,當前登入方式的展示表徵圖。
支援上傳PNG和JPG格式、200K以內的圖片,若未上傳,則使用預設表徵圖。
系統說明(非必填)
對當前系統的簡單說明。
授權模式
當前僅支援Authorization Code模式。
授權伺服器登入地址
輸入用於擷取授權碼(code)的URL,請求時會拼接client_id等參數。填寫完成後單擊測試網路連接,測試連接不通過時,無法單擊提交並下一步。
授權伺服器登出地址(非必填)
輸入授權伺服器登出地址。
認證平台類型(非必填)
用於記錄當前對接的IDP類型,例如keycloak。
說明若使用伺服器登出能力,則此項為必填。
client_id、client_secret
輸入由授權伺服器頒發給應用的ID和secret,用於鑒權伺服器判斷請求方是否可信。
請求access_token地址
OAuth2.0鑒權伺服器請求access token的地址。
請求access_token補充參數(非必填)
請求access_token時需要添加的額外靜態參數
請求access_token傳參方式
支援選擇URL或Body,預設選擇為URL。
Authorization Header類型
支援選擇Token或Bearer,預設選擇Token。
登入到期時間
登入態的失效時間,失效後將重新發起登入態校正,最長可設定為1440分鐘(24小時)。
使用者資訊配置
參數
描述
請求使用者資訊地址
輸入OAuth2.0鑒權伺服器請求使用者資訊的地址。
請求使用者資訊補充參數(非必填)
輸入請求使用者資訊時需要添加的補充參數。
使用者賬戶ID解析
從擷取的使用者資訊中得到賬戶ID所在的JSONPath配置,例如
$.accountId,預設為$.id。使用者賬戶名稱解析
從擷取的使用者資訊中得到賬戶名稱所在的JSONPath 配置,例如
$.accountName,預設為$.id。使用者暱稱解析
從擷取的使用者資訊中得到暱稱所在的JSONPath配置,例如
$.nickname,預設為$.id。
SAML
參數
描述
請選擇登入方式
選擇SAML。
系統名稱
在登入頁面中,當前登入方式的名稱,預設為SAML登入。
系統Icon
在登入頁面中,當前登入方式的展示表徵圖。
支援上傳PNG和JPG格式、200K以內的圖片,若未上傳,則使用預設表徵圖。
系統說明(非必填)
對當前系統的簡單說明。
認證平台類型
用於記錄當前對接的IDP類型,包括但不限於azure、ad-fs、saml等,預設為saml。
認證平台設定檔
上傳認證平台的設定檔,僅支援.xlsx格式的檔案。
認證平台登入地址
認證平台的登入/登出地址,無需填寫,系統將根據中繼資料檔案自動解析。
認證平台登出地址
認證平台認證
認證平台的認證,無需填寫,系統將根據中繼資料檔案自動解析。
Dataphin服務中繼資料(非必選)
單擊下載中繼資料檔案,即可下載Dataphin作為SP提供給IDP的中繼資料檔案,包含SP的唯一標識、回調地址等。
身份供應商名稱(非必填)
輸入由IDP提供的身份名稱或ID,某些IDP通訊時身份認證會需要此項,請查閱IDP平台說明。
通訊綁定方式(非必填)
輸入通訊綁定方式,與sp.xml中保持一致。若不填則預設為
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect,可選值為urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST。登入到期時間
登入態的失效時間,失效後將重新發起登入態校正,最長可設定為1440分鐘(24小時)。
阿里雲RAM
認證服務配置
參數
描述
請選擇登入方式
選擇阿里雲RAM。
系統名稱
在登入頁面中,當前登入方式的名稱,預設為阿里雲RAM登入。
系統Icon
在登入頁面中,當前登入方式的展示表徵圖。
支援上傳PNG和JPG格式、200K以內的圖片,若未上傳,則使用預設表徵圖。
系統說明(非必填)
對當前系統的簡單說明。
授權伺服器登入地址
輸入用於擷取授權碼(code)的URL,請求時會拼接client_id等參數。填寫完成後單擊測試網路連接,測試連接不通過時,無法單擊提交並下一步。
授權伺服器登出地址(非必填)
輸入授權伺服器登出地址。
client_id、client_secret
輸入阿里雲RAM存取控制中的OAuth應用的ID和密鑰。
請求access_token地址
請求存取權杖access token的地址,預設填寫
https://oauth.aliyun.com/v1/token。登入到期時間
登入態的失效時間,失效後將重新發起登入態校正,最長可設定為1440分鐘(24小時)。
使用者資訊配置
參數
描述
請求使用者資訊地址
鑒權伺服器請求使用者資訊的地址,預設填寫
https://oauth.aliyun.com/v1/userinfo。請求使用者資訊Region(非必填)
輸入請求使用者資訊的Region。
請求使用者資訊AccessKey ID、請求使用者資訊AccessKey Secret
輸入請求使用者資訊的AccessKey ID和AccessKey Secret。
飛書
參數
描述
請選擇登入方式
選擇飛書。
系統名稱
在登入頁面中,當前登入方式的名稱,預設為飛書登入。
系統Icon
在登入頁面中,當前登入方式的展示表徵圖。
支援上傳PNG和JPG格式、200K以內的圖片,若未上傳,則使用預設表徵圖。
系統說明(非必填)
對當前系統的簡單說明。
授權伺服器登入地址
用於擷取授權碼(code)的URL,採用飛書平台預設值
https://open.feishu.cn/open-apis/authen/v1/index。填寫完成後單擊測試網路連接,測試連接不通過時,無法單擊提交並下一步。App ID、App Secret
輸入應用的App ID和App Secret。
登入到期時間
登入態的失效時間,失效後將重新發起登入態校正,最長可設定為1440分鐘(24小時)。
三方SSO
認證服務配置
參數
描述
請選擇登入方式
選擇三方SSO。
系統名稱
在登入頁面中,當前登入方式的名稱,預設為三方SSO登入。
系統Icon
在登入頁面中,當前登入方式的展示表徵圖。
支援上傳PNG和JPG格式、200K以內的圖片,若未上傳,則使用預設表徵圖。
系統說明(非必填)
對當前系統的簡單說明。
對接文檔
認證服務地址
輸入認證服務地址,填寫完成後單擊測試網路連接,測試連接不通過時,無法單擊提交並下一步。
登入態校正地址
需提供校正ticket有效性的介面,預設請求路徑為
/cookie/validCookie?ticket={ticket}。登出地址
輸入登出地址,預設請求路徑為
/user/logout?ticket={ticket}。登入成功後是否跳回Dataphin
當使用者未登入時,系統將自動根據登入態校正地址中的返回地址發起認證。登入成功後,如需自動跳回Dataphin,需在上述返回地址中添加
?target-uri=xxxx,代表登入成功後的跳轉地址。使用者資訊配置
參數
描述
擷取使用者資訊的地址
輸入請求使用者資訊的地址,預設請求路徑為
/user/getAllUser。擷取方式
支援選擇全量擷取、分頁擷取或遊標擷取,預設選擇全量擷取。
說明當選擇分頁擷取、遊標擷取時,還需配置pagesize。
pagesize
輸入每頁擷取的使用者數量。
帳號映射(可選)
帳號映射中展示當前使用Dataphin的所有成員,為保證SSO整合後使用者資料的一致性,可配置當前帳號與SSO帳號之間的映射關係。當未配置映射的使用者通過當前登入方式訪問Dataphin時,可手動關聯帳號。
成員列表展示使用者名稱、初始帳號、Dataphin使用者ID、來源系統使用者ID,支援批量搜尋、大量匯入映射資訊以及大量匯出操作。
批量搜尋:批量輸入Dataphin使用者ID,系統將進行精確搜尋。多個對象之間以斷行符號分隔,最多可輸入1000個ID。
大量匯入映射資訊:單擊大量匯入映射資訊,先批量下載當前帳號資料檔案(檔案名稱為dataphin_account_mapping_sso.xlsx),再上傳配置好的帳號映射資訊檔。
說明下載當前帳號資料時,預設下載前500條使用者資訊,如需匯出指定使用者,可返回列表中選擇。
待上傳的帳號映射資訊檔,僅支援.xlsx類型,單次最多上傳500個。若匯入資料中存在來源系統ID為空白的情況,則跳過該條資料。
如需清空使用者的來源系統ID,請在列表中進行修改。
單擊開始匯入後,系統將同步對使用者的資料進行校正,若部分匯入失敗,您可在隨後彈出的大量匯入部分失敗對話方塊中查看匯入失敗詳情。
大量匯出:在列表中選擇多個帳號後,單擊底部的大量匯出,匯出所選帳號的帳號資料檔案(檔案名稱為dataphin_account_mapping_export_sso.xlsx),檔案中包含使用者名稱、初始帳號、Dataphin使用者ID和來源系統使用者ID。
單擊確定,系統將自動對帳號映射資訊進行校正,若報錯,可根據提示進行修改。
管理登入方式
在登入設定頁面,展示登入方式列表,包含系統名稱、系統說明、登入方式、系統編碼以及生效狀態資訊。您可拖動
表徵圖,為登入方式排序。
登入方式:當前支援添加CAS、OAuth2.0、SAML、阿里雲RAM、飛書、Dataphin自建帳號和三方SSO登入方式。特殊地,當登入方式為其他時,代表當前登入方式為歷史對接的協議,暫不支援編輯和刪除操作,如需添加新的登入協議,請聯絡Dataphin營運團隊。
系統編碼:部分和成員相關的OpenAPI在調用時需要傳入的帳號系統編碼資訊,用於明確使用者ID的來源系統。
版本升級成功後,登入方式列表中將展示正在使用的登入方式,其系統名稱為預設登入、系統說明為預設登入方式。
登入方式支援的管理操作如下。
操作項 | 說明 |
停用 | 單擊目標登入方式操作列中的 |
啟用 | 所有登入方式建立成功後將立即啟用。單擊未生效登入方式操作列中的 |
編輯 | 單擊目標登入方式操作列中的 Dataphin自建帳號登入方式編輯時支援配置以下參數:
|
刪除 | 單擊目標登入方式操作列中的 說明 Dataphin自建帳號登入方式不支援刪除。 |
表徵圖,在彈出的對話方塊中單擊確定,停用對應登入方式。停用後,所有對應系統的帳號將無法登入。
表徵圖,啟用對應登入方式。
表徵圖,跟隨設定精靈進行編輯,編輯時不影響啟用狀態。除Dataphin自建帳號登入方式外,其他登入方式可編輯參數同建立操作,詳情請參見
表徵圖,在彈出的對話方塊中單擊確定,刪除對應登入方式。刪除後,所有對應系統的帳號將無法登入。