在IDaaS認證鑒權中,您可以使用統一的身份認證憑證(如使用者名稱和密碼、多因素認證等)來訪問各應用和服務,而無需單獨針對每個應用進行認證。
前提條件
開通阿里雲IDaaS。
建立鑒權
登入MSE網關管理主控台。
在左側導覽列,選擇云原生网关 > 网关列表,並在頂部功能表列選擇地區。
在网关列表頁面,單擊目標網關名稱。
在左側導覽列,選擇安全管理 > 全局认证鉴权。
在頁面左上方,單擊创建鉴权配置網關鑒權相關參數,然後單擊确定。
雲原生網關IDaaS認證鑒權參數說明如下。
參數
描述
鉴权名称
自訂雲原生網關鑒權的名稱。
鉴权类型
選擇IDaaS認證方式。
用户登录页地址
輸入IDaaS執行個體使用者登入頁地址。
重定向URL
輸入授權成功後的重新導向地址,需要與IDaaS中配置的重新導向地址保持一致。
Client-ID
輸入IDaaS OAuth2應用註冊的應用標識ID。
Client-Secret
輸入IDaaS OAuth2應用註冊的應用Secret。
Cookie-Domain
輸入Cookie的網域名稱,認證通過後會將Cookie發送到指定的網域名稱,保持登入狀態。例如:設定
Cookie-domain=a.example.com,則Cookie會發送到網域名稱a.example.com;設定Cookie-domain=.example.com,則Cookie會發送到example.com的所有子網域名稱。授权
授權模式支援白名单模式和黑名单模式。
白名單模式:白名單中的hosts+paths不需要校正即可訪問,其餘都需要校正。
黑名單模式:黑名單中的hosts+paths需要校正,其餘可直接存取。
單擊规则条件,佈建要求網域名稱和路徑。
域名:請求訪問的網域名稱,即hosts。
路径(Path):請求訪問的介面Path,即paths。
查看鑒權詳情
登入MSE網關管理主控台。
在左側導覽列,選擇云原生网关 > 网关列表,並在頂部功能表列選擇地區。
在网关列表頁面,單擊目標網關名稱。
在左側導覽列,選擇安全管理 > 全局认证鉴权。
在全域認證鑒權頁面,單擊鑒權規則名稱或操作列的詳情,可查看當前認證配置和授權資訊的管理。
您可在授權資訊地區單擊建立授權資訊,在對話方塊中輸入請求網域名稱和請求Path,並選擇匹配方式,單擊確定新增授權規則。
結果驗證
返回全域認證鑒權頁面查看鑒權資訊,如果已包含建立的網關鑒權資訊,則說明網關認證鑒權建立成功。
相關操作
您還可以執行以下其他動作,管理網關的認證鑒權:
開啟鑒權:在全局认证鉴权頁面,單擊目標鑒權規則操作列的開啟,使認證鑒權資訊生效。
關閉鑒權:在全局认证鉴权頁面,單擊目標鑒權規則操作列的關閉,關閉網關認證鑒權資訊。
編輯鑒權:在全局认证鉴权頁面,單擊目標鑒權規則操作列的編輯,可編輯網關認證鑒權資訊。
刪除鑒權:在全局认证鉴权頁面,單擊目標鑒權規則操作列的刪除,可刪除網關認證鑒權資訊。
只有在認證鑒權資訊關閉的狀態下才可執行刪除操作。
相關文檔
雲身份服務 IDaaS是阿里雲為企業使用者提供的身份、許可權管理體系。更多資訊,請參見什麼是IDaaS EIAM?。
如果您想瞭解其他認證鑒權機制,請參見全域認證鑒權。