管理域


本文介绍子管理员如何在 EnOS 应用门户管理员控制台中管理本 OU 的域信息及配置单点登录。

备注

子管理员可进行的管理操作取决于 OU 管理员的授权。更多信息,联系 OU 管理员。

前提条件


开始之前,确保:

  • 已拥有域管理权限。如需开通此权限,联系 OU 管理员。

  • 本 OU 已开通 SSO 单点登录功能。有关 SSO 单点登录的更多信息,联系租户管理员。

创建域


  1. 在 EnOS 应用门户管理员控制台的左侧导航栏中选择 域配置

  2. 选择 添加域 并在弹窗中输入以下信息。


    字段

    描述

    名称

    输入域的名称。域的名称一旦提交,不可修改。

    URL

    输入域的 URL 地址。

    自动导入用户

    选择是否在用户首次进行 SSO 单点登录时自动为其创建账号并分配角色和用户组。

    角色

    启用 自动导入用户 后,选择自动导入用户时分配给用户的角色。

    用户组

    启用 自动导入用户 后,选择自动导入用户时分配给用户的用户组。

    描述

    输入域的描述。


  3. 选择 提交


添加域后,你可以使用此域名创建域账号。有关创建域账号的更多信息,参见 添加用户

编辑域


  1. 在 EnOS 应用门户管理员控制台的左侧导航栏中选择 域配置

  2. 在域列表中选择目标域所在行的 编辑 i_edit

  3. 在弹窗中编辑域的 URL、自动导入用户状态或描述信息。

  4. 选择 提交

删除域


  1. 在 EnOS 应用门户管理员控制台的左侧导航栏中选择 域配置

  2. 在域列表中找到需要删除的域,并选择 删除 i_remove

  3. 在弹窗中选择 确认。若本 OU 存在属于目标域的域账号,必须先移除域账号再删除目标域。

配置单点登录


OU 内的域默认支持 SAML 和 OAuth 2.0 两种单点登录协议。通过配置单点登录,你可以使本 OU 的用户通过第三方身份提供商(IdP)进行身份验证,实现无缝登录。

启用单点登录


  1. 在 EnOS 应用门户管理员控制台的左侧导航栏中选择 域配置

  2. 在域列表中找到需要配置 SSO 的域,并在操作栏中选择 单点登录配置 i_sso 按钮进入配置页面。

  3. 当前域未启用单点登录 旁打开开关,启用单点登录。

  4. 根据 IdP 支持的协议类型,选择 单点登录协议SAMLOAuth 2.0,然后根据对应协议的配置步骤进行设置。

SAML 单点登录配置


  1. 在 SSO 配置页面中,选择 协议SAML

  2. IdP 元数据 字段中,选择以下任一方式提供 IdP 的元数据信息:

    • URL: 输入 IdP 提供的在线元数据文件 URL。

    • 文件: 上传从 IdP 获取的元数据 XML 文件。

  3. 客户端 ID 字段中,

  4. 登出重定向 URL 字段中,输入用户登出应用门户后要重定向的 URL 地址。

  5. 配置属性映射。系统会根据元数据自动识别可用的属性字段。在下表中选择并映射必需的用户属性:


    属性映射字段

    描述

    用户名(必填)

    从 IdP 属性中选择用于识别用户身份的字段。

    邮箱(必填)

    从 IdP 属性中选择用于存储用户邮箱地址的字段。

    电话(可选)

    从 IdP 属性中选择用于存储用户电话号码的字段。

    昵称-名(可选)

    从 IdP 属性中选择用于构成用户昵称的名字部分。

    昵称-姓(可选)

    从 IdP 属性中选择用于构成用户昵称的姓氏部分。

    公司(可选)

    部门(可选)

    职位(可选)

    角色(可选)

    用户组(可选)


  6. 选择 保存,完成配置。

OAuth 2.0 单点登录配置


  1. 在 SSO 配置页面中,选择 单点登录协议OAuth 2.0

  2. 登录回调 URL 字段中,配置

  3. 登出重定向 URL 字段中,输入用户登出应用门户后要重定向的 URL 地址。

  4. 配置客户端信息。从 IdP 获取以下信息,并在相应字段中填入:


    字段

    描述

    客户端 ID(必填)

    IdP 为本 OU 应用门户颁发的客户端标识符。

    客户端密钥(必填)

    IdP 为本 OU 应用门户颁发的客户端密钥,用于身份验证。

    客户端认证方式(必填)

    选择应用门户向 IdP 证明身份的方式,支持 Basic 或 POST。

    授权范围(必填)

    指定应用门户请求的用户信息范围,多个值以空格分隔。例如:openid email profile。

    Issuer

    是否提供 Issuer 地址,若选是,则输入 Issuer 地址。若选否,则继续输入下列客户端认证方式及授权参数。

    认证端点(当 Issuer 为否时必填)”

    用户进行身份验证的 HTTP URL,通常为 IdP 的登录页面地址。

    Token 端点(当 Issuer 为否时必填)”

    应用门户用于交换授权码或其他凭证的 HTTP URL。

    用户信息端点(当 Issuer 为否时必填)”

    应用门户用于获取用户身份信息的 HTTP URL。

    用户信息验证方式(当 Issuer 为否时必填)

    签名算法


  5. 配置属性映射。在下表中选择并映射必需的用户属性:


    应用门户字段

    描述

    用户名(必填)

    从 IdP 属性中选择用于识别用户身份的字段。

    邮箱(必填)

    从 IdP 属性中选择用于存储用户邮箱地址的字段。

    电话(可选)

    从 IdP 属性中选择用于存储用户电话号码的字段。

    昵称-名(可选)

    从 IdP 属性中选择用于构成用户昵称的名字部分。

    昵称-姓(可选)

    从 IdP 属性中选择用于构成用户昵称的姓氏部分。

    公司(可选)

    部门(可选)

    职位(可选)

    角色(可选)

    用户组(可选)


  6. (可选)配置角色和用户组映射。若要在登录时自动分配角色和用户组,需要:

    • 在 IdP 中配置用户属性,确保 IdP 在身份验证时传递角色和用户组信息。

    • 在应用门户中创建与 IdP 传入的角色和用户组名称完全一致的角色和用户组。

  7. 选择 保存,完成配置。


备注

角色和用户组的分配基于 IdP 传入的用户属性。请确保在应用门户中创建的角色和用户组名称与 IdP 中配置的完全一致,以便权限分配生效。

配置单点登录


OU 内的域默认支持 SAML 和 OAuth 2.0 两种单点登录协议。通过配置单点登录,你可以使本 OU 的用户通过第三方身份提供商(IdP)进行身份验证,实现无缝登录。

启用单点登录


  1. 在 EnOS 应用门户管理员控制台的左侧导航栏中选择 域配置

  2. 在域列表中找到需要配置 SSO 的域,并在操作栏中选择 单点登录配置 i_sso 按钮进入配置页面。

  3. 当前域未启用单点登录 旁打开开关,启用单点登录。

  4. 根据 IdP 支持的协议类型,选择 单点登录协议SAMLOAuth 2.0,然后根据对应协议的配置步骤进行设置。

SAML 单点登录配置


  1. 在单点登录配置页面中,选择 单点登录协议SAML

  2. IdP 元数据 字段中,选择以下任一方式提供 IdP 的元数据信息:

    • URL: 输入 IdP 提供的在线元数据文件 URL。

    • 文件: 上传从 IdP 获取的元数据 XML 文件。

  3. 客户端 ID 字段中,输入在 IdP 中为 EnOS 应用门户注册应用后生成的应用客户端 ID。EnOS 作为客户端访问授权端点时,将使用该 ID 进行身份验证。

  4. 登出重定向 URL 字段中,输入用户登出应用门户后要重定向的 URL 地址。

  5. 配置属性映射。系统会根据元数据自动识别可用的属性字段。在下表中选择并映射必需的用户属性:


    属性映射字段

    描述

    用户名(必填)

    在 IdP 提供的用户属性中,指定一个字段作为 EnOS 中的“用户名”字段。

    邮箱(必填)

    在 IdP 提供的用户属性中,指定一个字段作为 EnOS 中的“邮箱”字段。

    电话(可选)

    从 IdP 属性中选择用于存储用户电话号码的字段。

    昵称-名(可选)

    在 IdP 提供的用户属性中,指定一个字段作为 EnOS 中“昵称”字段的“名”。

    昵称-姓(可选)

    在 IdP 提供的用户属性中,指定一个字段作为 EnOS 中“昵称”字段的“姓”。“名”和“姓”将拼接成完整的“昵称”。

    公司(可选)

    从 IdP 属性中选择用于存储用户所属公司名称的字段。

    部门(可选)

    从 IdP 属性中选择用于存储用户所属部门名称的字段。

    职位(可选)

    从 IdP 属性中选择用于存储用户职位的字段。

    角色(可选)

    从 IdP 属性中指定一个字段作为 EnOS 中的“角色”字段。需在 EnOS 中创建与 IdP 传入值完全一致的角色以使权限生效。

    用户组(可选)

    从 IdP 属性中指定一个字段作为 EnOS 中的“用户组”字段。需在 EnOS 中创建与 IdP 传入值完全一致的用户组以使权限生效。


  6. 选择 保存,完成配置。

OAuth 2.0 单点登录配置


  1. 在 SSO 配置页面中,选择 单点登录协议OAuth 2.0

  2. 登录回调 URL 字段中,获取由 EnOS 提供的回调地址。在 IdP 为 EnOS 应用门户注册应用时,需配置此 URL,以便 IdP 在用户完成验证后向 EnOS 推送授权码。

  3. 登出重定向 URL 字段中,输入用户登出应用门户后要重定向的 URL 地址。

  4. 配置客户端信息。从 IdP 获取以下信息,并在相应字段中填入:


    字段

    描述

    客户端 ID(必填)

    客户端进行身份验证的凭证。在 IdP 中注册应用后由 IdP 生成。

    客户端密钥(必填)

    与客户端 ID 配对的密钥。EnOS 访问授权端点时将使用客户端 ID 和密钥进行身份验证。

    客户端认证方式(必填)

    EnOS 向 IdP 证明自身身份的方式,确保只有注册的合法客户端可获取 Token 或访问资源。

    授权范围(必填)

    指定 EnOS 请求的资源权限或用户信息范围(如 openid, email, profile),多个值以空格分隔。

    Issuer

    是否提供 Issuer 地址。若选是,则输入 Issuer 地址;若选否,则需手动输入下方端点信息。

    认证端点(当 Issuer 为否时必填)

    用户进行身份验证的 HTTP URL(如登录页地址)。验证成功后 IdP 将发送授权码至 EnOS。

    Token 端点(当 Issuer 为否时必填)

    EnOS 用于交换授权码或其他凭证的端点。验证请求后,IdP 返回 Token 等信息。

    用户信息端点(当 Issuer 为否时必填)

    EnOS 使用 Token 获取用户身份信息的端点,由 IdP 提供。

    用户信息验证方式(当 Issuer 为否时必填)

    IdP 传递用户数据至用户信息端点的验证方式,包括 Header、Form 和 Query。

    签名算法

    用于验证 Token 或信息交换安全性的加密算法。


  5. 配置属性映射。在下表中选择并映射必需的用户属性:


    应用门户字段

    描述

    用户名(必填)

    在 IdP 提供的用户属性中,指定一个字段作为 EnOS 中的“用户名”字段。

    邮箱(必填)

    在 IdP 提供的用户属性中,指定一个字段作为 EnOS 中的“邮箱”字段。

    电话(可选)

    从 IdP 属性中选择用于存储用户电话号码的字段。

    昵称-名(可选)

    在 IdP 提供的用户属性中,指定一个字段作为 EnOS 中“昵称”字段的“名”。

    昵称-姓(可选)

    在 IdP 提供的用户属性中,指定一个字段作为 EnOS 中“昵称”字段的“姓”。“名”和“姓”将拼接成完整的“昵称”。

    公司(可选)

    从 IdP 属性中选择用于存储用户所属公司名称的字段。

    部门(可选)

    从 IdP 属性中选择用于存储用户所属部门名称的字段。

    职位(可选)

    从 IdP 属性中选择用于存储用户职位的字段。

    角色(可选)

    从 IdP 属性中指定一个字段作为 EnOS 中的“角色”字段。需在 EnOS 中创建与 IdP 传入值完全一致的角色以使权限生效。

    用户组(可选)

    从 IdP 属性中指定一个字段作为 EnOS 中的“用户组”字段。需在 EnOS 中创建与 IdP 传入值完全一致的用户组以使权限生效。


  6. 选择 保存,完成配置。


备注

角色和用户组的分配基于 IdP 传入的用户属性。请确保在应用门户中创建的角色和用户组名称与 IdP 中配置的完全一致,以便权限策略在 EnOS 中同样生效。