安全认证网关单点登录
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,它允许用户通过一次登录操作来访问多个系统或应用程序,这种机制极大地提高了用户体验,减少了频繁登录的繁琐过程,同时也增强了安全性,因为用户只需要记住一个密码,在实现单点登录的过程中,安全认证网关起到了至关重要的作用,以下是关于安全认证网关单点登录的一些详细解答:
一、前提条件
1、 已部署应用到ASM实例关联的集群 :确保您的应用已经成功部署到了与ASM实例相关联的集群中。
2、 已为命名空间注入Sidecar :Sidecar是一个边车代理,用于拦截和处理进出应用容器的网络请求,具体操作请参见配置Sidecar注入策略的相关文档。
3、 已创建ASM入口网关并获取网关地址 :您需要先创建一个ASM入口网关,并获取其地址,以便后续配置使用。
4、 已完成IdP( 身份提供商 )的配置 :这是实现单点登录的关键步骤,您需要选择一个符合OIDC标准的身份提供者,如阿里云IDaaS,并进行相应的配置。
二、操作步骤
1、 登录ASM控制台 :在左侧导航栏选择“服务网格”->“网格管理”。
2、 选择目标实例 :单击目标实例名称,然后在左侧导航栏选择“ASM网关”->“入口网关”。
3、 配置OIDC单点登录 :在入口网关页面,单击目标网关名称,进入网关概览页面,在左侧导航栏选择“网关安全”->“OIDC单点登录”,打开“启用网关OIDC单点登录”开关,进行相关配置,然后单击“下一步”。
三、配置项说明
| 配置项 | 说明 |
| 登录重定向地址 | 本文选择使用网关IP地址和http协议。 |
| callback地址 | 重定向地址。 |
| OIDC颁发者URL | 用于标识和验证OpenID Connect提供者的URL。 |
| 颁发者提供的客户端ID(ClientID) | 颁发者提供的客户端ID。 |
| 颁发者提供的客户端密钥(ClientSecret) | 颁发者提供的客户端密钥。 |
| Cookie密钥 | Secure Cookies的种子(支持Base64编码)。 |
| Cookie过期时间 | 到达该时间后刷新Cookie,设置为0表示关闭刷新。 |
| Cookie刷新时间 | 每间隔该时间刷新Cookie,设置为0表示关闭。 |
| 用户信息范围Scopes | 指定获取的Scopes,指定的Scope必须被Issuer支持。 |
四、匹配规则配置
在匹配规则配置向导中,您可以选择是否所有请求都需要经过认证,或者仅特定路径的请求需要经过认证,您可以配置HTTP路径为/productpage的请求必须经过OIDC认证。
五、验证配置
完成配置后,您可以使用浏览器访问 http:// ${ASM网关地址}/productpage,验证OIDC单点登录配置是否生效,如果登录后能够成功访问,则表明配置生效。
相关问题与解答
问:在网关上接入OIDC之后,应用是否还需要获取access token或直接向IdP请求用户信息?
答:在网关上接入OIDC之后,应用无需关注任何与IdP认证鉴权相关的逻辑,您的应用收到的请求中会携带一个key为Authorization的Header,这个Header是在请求经过网关时被添加上的,该Header是一个来自IdP的JWT,JWT的Payload中包含了应用所需的用户信息,并且经过了网关的JWT验证,您的应用无需再重复对该JWT进行验证,应用直接从请求中解析这个Header即可,无需向IdP请求用户信息。
问:接入OIDC之后,浏览器上登录时发现多了一个Cookie,这个Cookie是否对应用有意义?
答:这个Cookie是网关记录当前会话的状态,对应用本身没有意义,应用只需要读取请求中的JWT即可。
到此,以上就是小编对于“ 安全认证网关单点登录 ”的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
路由器设置中的dhcp是什么?
DHCP(Dynamic Host Configuration Protocol),动态主机配置协议:计算机用来获得配置信息的协议。 DHCP容许给某一计算机赋以IP地址而不需要管理者在服务器数据中配置有关该计算机信息。 作用就是给PC分配一个IP。 在一个局域网里面,你的路由有这个功能的话,那它就会把PC的MC地址记住,然后给这个PC分配一个IP地址,然后这个MC地址的PC以后就用这个IP地址上网,作用就是可以防止外来PC上网,和避免IP地址重复使用造成的错误。 DHCP是可自动將IP位址指派給登入TCP/IP网络的用戶端的一种软件,(此种IP位址称为「动态IP位址」)。 这种软件通常是在路由器及其他网络设备上 , 依照预先设定,您的GateLock路由器設定为使用DHCP,因此就无須手动指派永久IP位址給网络上的每個设备是动态主机配置,就是让路由器有自动分配IP的功能,默认是开启的。 如果连接路由的电脑的IP是自动获取,开了路由的DHCP就可以让下面的电脑自动获得IP ;如果没开DHCP,下面的电脑就无法自动获取IP,只有手动设置。
办公室打印机是共享的,但每次连接打印机的电脑重启后,为什么又是“不共享这台打印机”?
按我的操作在打印机所在的电脑上操作一次第一步。 打开我的电脑控制面板进入管理工具。 选择本地策略,我们来修改XP的默认策略才行首先是本地策略——用户指派权利——拒绝从网络访问计算机。 里面的GUEST用户删掉然后找到从网络访问计算机。 添加一个 GUEST 用户然后选择本地策略——安全选项——网络访问:本地账户的共享和安全模式,将其改到经典接着找到下面的 账户:使用空白密码的本地账户只允许控制台登录,改成禁用。 接着找到他上面的来宾账户状态,启用。 第一步完成第二部。 打开控制面板里面的网络安装向导,下一步此计算机通过居民区的网关或网络上的其他计算设计连接到InterNET下一步,填上自己的名字。 这个没有要求。 随意,下一步,工作组,填WORKGROUP然后直接下一步。 到最后选最下面的一项完成操作。 重启计算机
我家是无线网 360防蹭网检查出有30台未知机子连接 该怎么办? 有图
设密码。 WEP加密1、启用WEP加密。 打开路由器管理界面,“无线设置”->“基本设置”:“安全认证类型”选择“自动选择”,因为“自动选择”就是在“开放系统”和“共享密钥”之中自动协商一种,而这两种的认证方法的安全性没有什么区别。 “密钥格式选择”选择“16进制”,还有可选的是“ASCII码”,这里的设置对安全性没有任何影响,因为设置“单独密钥”的时候需要“16进制”,所以这里推荐使用“16进制”。 “密钥选择”必须填入“密钥2”的位置,这里一定要这样设置,因为新的升级程序下,密钥1必须为空,目的是为了配合单独密钥的使用(单独密钥会在下面的MAC地址过滤中介绍),不这样设置的话可能会连接不上。 密钥类型选择64/128/152位,选择了对应的位数以后“密钥类型”的长度会变更,本例中我们填入了26位参数1111 。 因为“密钥格式选择”为“16进制”,所以“密钥内容”可以填入字符是0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f,设置完记得保存。 如果不需要使用“单独密钥”功能,网卡只需要简单配置成加密模式,密钥格式,密钥内容要和路由器一样,密钥设置也要设置为“WEP密钥2”的位置(和路由器对应),这时候就可以连接上路由器了。 如果你比较有兴趣学习的话,还可以继续往下看无线路由器加密有以下几种方法:1.使用无线路由器提供的WEP,WPA等加密方式一般设置简单.2.或者使用访问限制,同过MAC地址来限制连接,就是说在访问限制列表里输入MAC的机器,才能连接到你的无线路由器.3.一种更简单的,就是关闭SSID广播,就是无法搜索到你AP的SSID,你只能手工的方式自己填入正确的SSID,才能连接!上述三个方法都可以,但安全性质最好的是通过MAC地址限制访问.设置都是在无线路由器完成.下面将对这些加密方式详细介绍下:一、先介绍下最简单的,关闭SSID广播,这样无线用户就搜索不到你的网络标识,可以起到限制其他用户的连接.具体设置:a、路由器方设置,在关闭SSID广播时,你最好改变下SSID广播号,如果不改动的话,以前连过你网络的用户,还可以连接;b、客户机设置:无线网络---属性----无线配置---使用windows配置您的无线网络--然后点添加--写上你设置的SSID名称后,---再点属性,要确认自动连接到非手选网络的勾未打上,确定就可以----让你刚刚设置的SSID号排在最上方,因为SSID广播关闭后,是你的电脑无线网卡去搜寻路由器,在最上方,可以首先访问你的无线网络,且避免连接到其他的无线网络.(备注:如果这样还是上不去网的话,你可以点开无线网络的TCP/IP设置,写上内网的固定 ip,网关,DNS.一般网关,DNS都是你路由器的ip.)二、MAC地址限制2、单独密钥的使用。 这里的MAC地址过滤可以指定某些MAC地址可以访问本无线网络而其他的不可以,“单独密钥”功能可以为单个MAC指定一个单独的密钥,这个密钥就只有带这个MAC地址的网卡可以用,其他网卡不能用,增加了一定的安全性。 打开“无线设置”->“MAC地址过滤”,在“MAC地址过滤”页面“添加新条目”,如下界面是填入参数的界面:“MAC地址”参数我们填入的是本例中TL-WN620G的MAC地址00-0A-EB-88-65-06 ,“类型”可以选择“允许”/“禁止”/“64位密钥”/“128位密钥”/“152位密钥” ,本例中选择了64位密钥。 “允许”和“禁止”只是简单允许或禁止某一个MAC地址的通过,这和之前的MAC地址功能是一样的,这里不作为重点。 “密钥”填入了10位AAAAAAAAAA ,这里没有“密钥格式选择”,只支持“16进制”的输入。 “状态”选择生效。 最后点击保存即可,保存后会返回上一级界面:注意到上面的“MAC地址过滤功能”的状态是“已开启”,如果是“已关闭”,右边的按钮会变成“开启过滤”,点击这个按钮来开启这一功能。 至此,无线路由器这一端配置完成!顺便说一下怎样获取网卡MAC地址?可以参考我司网站“网络教室” 文档《路由器配置指南》相关内容,通过电脑DOS界面运行ipconfig/all这个命令会弹出如下类似信息,红线勾勒部分“Physical Address”对应的就是处于连接状态的网卡的MAC地址;二、网卡TL-WN620G的配置打开TL-WN620G客户端应用程序主界面——“用户文件管理”—>“修改”,会弹出用户配置文件管理对话框。 首先是“常规”页填入和无线路由器端相同的SSID —— 本例为“TP-LINK”然后点击“高级”页,红线勾勒部分注意选择认证模式,可以保持和无线路由器端相同,由于我们的路由器上选择了“自动选择”模式,所以这里无论选择什么模式都是可以连接的。 如果这个选项是灰色,就请先配置“安全”页面的参数,回过头再来这里配置;接下来我们进入“安全”页先选择“预共享密钥(静态WEP)”,然后点击“配置…..”按钮,进入设置共享密钥的界面:上面用红线勾勒的参数说明一下:1)、“密钥格式”必须选择“十六进制(0-9,A-F);2)、总共需要填入两个密钥,密钥1对应的是路由器 “无线配置”->“MAC地址过滤”页面下设置的单独密钥,本例为64位长度的密钥AAAAAAAAAA ;密钥2对应的是路由器“无线配置”->“基本设置”页面下设置的公共密钥,本例为128位长度的密钥1111 。 3)、最后要选中“WEP密钥1”。 (注意“WEP密钥1”后面的圆点)4)、单独密钥和公共密钥的位置是不能更改的。 配置完成,连续点击两次“取定”回到客户端应用程序主界面,我们可以看到网卡和无线路由器已经建立了连接,如下图所示:这时候我们进入路由器“无线设置”-“主机状态”,可以看到已连接的网卡MAC地址;在“主机状态”页面,表里第一个显示的是无线路由器的MAC地址;
发表评论