身份源云桥

云桥

# 概述

身份源类型云桥是IDaaS云桥中的一种,用于建立竹云IDaaS与企业内部相应身份源之间的连接通道,目前支持AD身份源。

本章节指导您在IDaaS平台部署及使用身份源云桥Agent,提供身份源云桥安装包的更新记录,以便您根据项目实际需求选择合适版本。下文以操作系统CentOS Linux release 8.0.1905部署身份源云桥Agent为例

# 前提条件

  • 拥有IDaaS企业中心平台的管理员权限。
  • 拥有内网服务器操作权限。
  • 服务器已安装OpenJDK 17及以上版本。

# 部署前准备

# 软件包

请提前准备如下所示软件包。

软件包名称 说明 下载链接
cloudAgent-identitySource-{版本号}.zip 身份源云桥安装包。 点此下载 (opens new window)
cloudAgent-identitySource-{版本号}.zip.sha256 身份源云桥安装包的SHA256校验文件,用于校验身份源云桥安装包的完整性。 点此下载 (opens new window)

身份源云桥安装包解压后的文件如下:

名称 说明
agent.sh 开机自启动云桥Agent的文件。
cloudAgent-identitySource.jar 身份源云桥Agent的部署包。
cloudBridge.sh 手动启动云桥Agent的文件。
config 云桥Agent配置文件(application.yml)的存放目录。
log 云桥Agent日志(agent.log)的存放目录。
connector 身份源云桥连接器jar包的存放目录。
encrypt.sh 加密脚本。

# 部署身份源云桥

  1. 登录IDaaS企业中心平台,在上方导航栏选择 “设置 > 云桥配置“ ,单击 ”添加云桥Agent“ ,设置名称并选择身份源类型云桥

    • 云桥Agent添加完成后,系统会自动生成ClientID和ClientSecret,请妥善保管。
    • 如不慎忘记ClientSecret,单击目标Agent的 “重置密钥” 即可重新生成。重置后,原密钥将会失效,请谨慎操作。
    • 支持查看云桥连接日志及服务日志。
    • 支持为云桥Agent配置IP,配置为部署云桥Agent的服务器的出口IP,配置后只允许该IP连接IDaaS云服务,以确保服务安全性。
    • 支持删除目标Agent,请谨慎操作。

  2. 上传获取的身份源云桥的所有软件包至目标服务器,执行如下命令校验云桥安装包的完整性,当回显信息显示OK,表示完整性校验成功。

    sha256sum -c cloudAgent-identitySource-{版本号}.zip.sha256
    
    1
  3. 执行以下命令解压身份源云桥安装包,其中存放地址必须唯一,否则会导致安装出错。

    unzip -od {文件解压后的存放地址} cloudAgent-identitySource-{版本号}.zip
    
    1
  4. 进入文件解压后的目录,配置config目录下的application.yml文件。

    ###UTF-8格式YAML配置标识头,勿删除###
    server:
     # 云桥启动端口
      port: 9081
    
    agent:
      # 云桥服务地址。domain为在IDaaS的租户域名xx.bccastle.com
      示例:serverAddress: wss://domain/api/v1/ws
      # 云桥ClientID。在IDaaS创建的云桥的ClientID
      示例:agentId: 7jve68NZlPFqyWD8SJToWxTU5Wg6khk1
      # 云桥ClientSecret。在IDaaS创建的云桥的ClientSecret
      示例:agentSecret: LdfwryojYHLMaeNGVdr9fSh1iwyDCL0QuBxhKn0jxT5UOhUQVpAoGdglsvtpLNV1
    
    # 身份源回收属性
    idsource:
      recycle:
        # AD身份源回收属性
        ad:
          # AD服务器的主机名或IP地
          示例:host: 127.0.0.1
          # 用于与AD服务器通信的TCP/IP端口
          示例:port: 8080
          # 选中此复选框可使用SSL连接到AD服务器
          示例:ssl: false
          # 默认情况下使用TLSv1.2,建议使用TLSV 1.3和TLSv1.2(为了兼容性,可以使用SSL和TLSv1.0)。
          示例:protocolVersion: TLSv1.2
          # 用于AD服务器身份验证的标识符
          示例:principal: DEMO-TEST\Administrator
          # 主体的密码
          示例:credentials: passw0rd
          # 基本上下文(搜索AD树时将使用的AD树中的一个或多个起点,当从AD服务器找到用户或用户所属的组时,将执行搜索)
          示例:baseContexts: OU=org-test,DC=demo-test,DC=com
          # 映射到UID属性的AD属性的名称。默认值:objectGUID
          示例:uidAttribute: objectGUID
          # 输入多个对象类,每个条目都应有自己的行;请勿使用逗号或分号分隔多个对象类;某些对象类可能需要指定类层次结构中的所有对象类。默认值:organizationalUnit
          示例:organizationObjectClasses: organizationalUnit
          # 输入多个对象类,每个条目应有自己的行;请勿使用逗号或分号分隔多个对象类;某些对象类可能需要指定类层次结构中的所有对象类。默认值:top, person, organizationalPerson, user
          示例:accountObjectClasses: user
          # 使用VLV控件,默认值:true
          示例:useVlvControls: true
          # 指定用于资源上VLV索引的排序属性。默认值:objectGUID
          示例:vlvSortAttribute: objectGUID
    
    
    # This is the Agent log level control configuration
    logging:
      level:
        com.oneaccess.cloudbridge: INFO
      file:
        # The value of the attribute must have a unit, which can be KB or MB
        # 单个日志文件大小。默认值10MB,最大值10MB
        # default: 10MB
        # max-size: 10MB
        # The maximum number of days that log files are to be archived
        # 日志最长保留时间。默认值7天,最大值7天
        # default: 7 DAYS
        # max-history: 7
    
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
  5. 配置文件完成后,在云桥安装包解压后的目录下执行以下命令启动云桥,当提示Starting Agent Success表示云桥启动成功,若启动失败请排查配置文件。

    ./cloudBridge.sh start
    
    1

  6. 可选)如果需要开机自启动云桥,请在云桥安装包解压后的目录下执行以下命令,当提示The Agent service installed successfully, need to reboot will take effect表示启动成功。

    ./agent install
    
    1
  7. 可选)如果需要取消云桥开机自启动,请在云桥安装包解压后的目录下执行以下命令,当提示uninstall Agent Success表示取消云桥开机自启动成功。

    ./agent uninstall
    
    1
  8. 您可以通过目录中的log/agent.log文件获取日志信息。

# 使用身份源云桥

  1. 登录IDaaS企业中心平台,在上方导航栏选择 “用户 > 身份源管理“ ,选择 ”AD身份源“进行添加 。

  2. 进入 “导入配置” 页面,将连接方式设置为 “通过云桥Agent连接” ,选择可用的身份源云桥,其余配置请参考AD作为身份源

# 附:加密工具使用

  1. 执行./encrypt.sh setKey命令,按 “Enter" 后设置加密密钥。

    如果此前已设置加密密钥,需要更新密钥请执行./encrypt.sh updateKey命令。

  2. 自定义AD加密密钥。

  3. 执行./encrypt.sh encrypt命令。

  4. 输入AD管理员密码。

  5. 复制生成的加密密码,在配置文件application.yml的credentials后输入加密后的密码,如下所示:

    credentials: ‘加密后的密码’

# 更新日志

本模块展示身份源云桥Agent安装包的更新记录。

版本 更新说明
V24.4.1.0 云桥客户端安全加固
V23.10.1.0 JDK版本升级到JDK 17
V23.5.1.0 增加客户端连接信息和日志备份
V23.4.1.0 1.更新了AD连接器,优化了错误信息
2.增加了云桥AD配置的测试功能
V22.11.1.0 1.优化了一些已知bug
2.优化WebSocket的连接
V22.9.1.0 1.修改云桥安装脚本,以systemd的方式安装看门狗,支持Ubuntu系统
2.安装脚本增加安装前的环境检查
V22.7.1.0 支持查看云桥服务日志
V22.3.1.0 针对AD身份源Agent功能进行优化
V21.10.2.0 1.配置错误,提示更加精确
2.优化Agent获取Pid的方式
V21.9.2.0 新增看门狗机制
V21.9.1.0 1.云桥重连机制优化
2.优化了一些已知BUG