身份源云桥
# 概述
身份源类型云桥是IDaaS云桥中的一种,用于建立竹云IDaaS与企业内部相应身份源之间的连接通道,目前支持AD身份源。
本章节指导您在IDaaS平台部署及使用身份源云桥Agent,提供身份源云桥安装包的更新记录,以便您根据项目实际需求选择合适版本。下文以操作系统CentOS Linux release 8.0.1905部署身份源云桥Agent为例。
# 前提条件
- 拥有IDaaS企业中心平台的管理员权限。
- 拥有内网服务器操作权限。
- 服务器已安装OpenJDK 17及以上版本。
# 部署前准备
# 软件包
请提前准备如下所示软件包。
软件包名称 | 说明 | 下载链接 |
---|---|---|
cloudAgent-identitySource-{版本号}.zip | 身份源云桥安装包。 | 点此下载 (opens new window) |
cloudAgent-identitySource-{版本号}.zip.sha256 | 身份源云桥安装包的SHA256校验文件,用于校验身份源云桥安装包的完整性。 | 点此下载 (opens new window) |
身份源云桥安装包解压后的文件如下:
名称 | 说明 |
---|---|
agent.sh | 开机自启动云桥Agent的文件。 |
cloudAgent-identitySource.jar | 身份源云桥Agent的部署包。 |
cloudBridge.sh | 手动启动云桥Agent的文件。 |
config | 云桥Agent配置文件(application.yml)的存放目录。 |
log | 云桥Agent日志(agent.log)的存放目录。 |
connector | 身份源云桥连接器jar包的存放目录。 |
encrypt.sh | 加密脚本。 |
# 部署身份源云桥
登录IDaaS企业中心平台,在上方导航栏选择 “设置 > 云桥配置“ ,单击 ”添加云桥Agent“ ,设置名称并选择身份源类型云桥。
- 云桥Agent添加完成后,系统会自动生成ClientID和ClientSecret,请妥善保管。
- 如不慎忘记ClientSecret,单击目标Agent的 “重置密钥” 即可重新生成。重置后,原密钥将会失效,请谨慎操作。
- 支持查看云桥连接日志及服务日志。
- 支持为云桥Agent配置IP,配置为部署云桥Agent的服务器的出口IP,配置后只允许该IP连接IDaaS云服务,以确保服务安全性。
- 支持删除目标Agent,请谨慎操作。
上传获取的身份源云桥的所有软件包至目标服务器,执行如下命令校验云桥安装包的完整性,当回显信息显示OK,表示完整性校验成功。
sha256sum -c cloudAgent-identitySource-{版本号}.zip.sha256
1执行以下命令解压身份源云桥安装包,其中存放地址必须唯一,否则会导致安装出错。
unzip -od {文件解压后的存放地址} cloudAgent-identitySource-{版本号}.zip
1进入文件解压后的目录,配置config目录下的
application.yml
文件。###UTF-8格式YAML配置标识头,勿删除### server: # 云桥启动端口 port: 9081 agent: # 云桥服务地址。domain为在IDaaS的租户域名xx.bccastle.com 示例:serverAddress: wss://domain/api/v1/ws # 云桥ClientID。在IDaaS创建的云桥的ClientID 示例:agentId: 7jve68NZlPFqyWD8SJToWxTU5Wg6khk1 # 云桥ClientSecret。在IDaaS创建的云桥的ClientSecret 示例:agentSecret: LdfwryojYHLMaeNGVdr9fSh1iwyDCL0QuBxhKn0jxT5UOhUQVpAoGdglsvtpLNV1 # 身份源回收属性 idsource: recycle: # AD身份源回收属性 ad: # AD服务器的主机名或IP地 示例:host: 127.0.0.1 # 用于与AD服务器通信的TCP/IP端口 示例:port: 8080 # 选中此复选框可使用SSL连接到AD服务器 示例:ssl: false # 默认情况下使用TLSv1.2,建议使用TLSV 1.3和TLSv1.2(为了兼容性,可以使用SSL和TLSv1.0)。 示例:protocolVersion: TLSv1.2 # 用于AD服务器身份验证的标识符 示例:principal: DEMO-TEST\Administrator # 主体的密码 示例:credentials: passw0rd # 基本上下文(搜索AD树时将使用的AD树中的一个或多个起点,当从AD服务器找到用户或用户所属的组时,将执行搜索) 示例:baseContexts: OU=org-test,DC=demo-test,DC=com # 映射到UID属性的AD属性的名称。默认值:objectGUID 示例:uidAttribute: objectGUID # 输入多个对象类,每个条目都应有自己的行;请勿使用逗号或分号分隔多个对象类;某些对象类可能需要指定类层次结构中的所有对象类。默认值:organizationalUnit 示例:organizationObjectClasses: organizationalUnit # 输入多个对象类,每个条目应有自己的行;请勿使用逗号或分号分隔多个对象类;某些对象类可能需要指定类层次结构中的所有对象类。默认值:top, person, organizationalPerson, user 示例:accountObjectClasses: user # 使用VLV控件,默认值:true 示例:useVlvControls: true # 指定用于资源上VLV索引的排序属性。默认值:objectGUID 示例:vlvSortAttribute: objectGUID # This is the Agent log level control configuration logging: level: com.oneaccess.cloudbridge: INFO file: # The value of the attribute must have a unit, which can be KB or MB # 单个日志文件大小。默认值10MB,最大值10MB # default: 10MB # max-size: 10MB # The maximum number of days that log files are to be archived # 日志最长保留时间。默认值7天,最大值7天 # default: 7 DAYS # max-history: 7
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57配置文件完成后,在云桥安装包解压后的目录下执行以下命令启动云桥,当提示Starting Agent Success表示云桥启动成功,若启动失败请排查配置文件。
./cloudBridge.sh start
1(可选)如果需要开机自启动云桥,请在云桥安装包解压后的目录下执行以下命令,当提示The Agent service installed successfully, need to reboot will take effect表示启动成功。
./agent install
1(可选)如果需要取消云桥开机自启动,请在云桥安装包解压后的目录下执行以下命令,当提示uninstall Agent Success表示取消云桥开机自启动成功。
./agent uninstall
1您可以通过目录中的
log/agent.log
文件获取日志信息。
# 使用身份源云桥
登录IDaaS企业中心平台,在上方导航栏选择 “用户 > 身份源管理“ ,选择 ”AD身份源“进行添加 。
进入 “导入配置” 页面,将连接方式设置为 “通过云桥Agent连接” ,选择可用的身份源云桥,其余配置请参考AD作为身份源。
# 附:加密工具使用
执行
./encrypt.sh setKey
命令,按 “Enter" 后设置加密密钥。如果此前已设置加密密钥,需要更新密钥请执行
./encrypt.sh updateKey
命令。自定义AD加密密钥。
执行
./encrypt.sh encrypt
命令。输入AD管理员密码。
复制生成的加密密码,在配置文件application.yml的credentials后输入加密后的密码,如下所示:
credentials: ‘加密后的密码’
# 更新日志
本模块展示身份源云桥Agent安装包的更新记录。
版本 | 更新说明 |
---|---|
V24.4.1.0 | 云桥客户端安全加固 |
V23.10.1.0 | JDK版本升级到JDK 17 |
V23.5.1.0 | 增加客户端连接信息和日志备份 |
V23.4.1.0 | 1.更新了AD连接器,优化了错误信息 2.增加了云桥AD配置的测试功能 |
V22.11.1.0 | 1.优化了一些已知bug 2.优化WebSocket的连接 |
V22.9.1.0 | 1.修改云桥安装脚本,以systemd的方式安装看门狗,支持Ubuntu系统 2.安装脚本增加安装前的环境检查 |
V22.7.1.0 | 支持查看云桥服务日志 |
V22.3.1.0 | 针对AD身份源Agent功能进行优化 |
V21.10.2.0 | 1.配置错误,提示更加精确 2.优化Agent获取Pid的方式 |
V21.9.2.0 | 新增看门狗机制 |
V21.9.1.0 | 1.云桥重连机制优化 2.优化了一些已知BUG |