领域设置

## 领域配置

拥有管理页面的管理帐户后，您就可以配置领域。领域是您管理对象的空间，包括用户、应用程序、角色和组。用户属于并登录到某个领域。一项部署可以定义、存储和管理与数据库中的空间一样多的领域。

### 使用管理控制台

您可以在管理控制台中配置领域并执行大多数管理任务。

先决条件

- 您需要一个管理员帐户。

步骤：

1. 进入登录页面

![](/media/202312/2023-12-08_164200_909846.png)

2. 输入您创建的用户名和密码。此操作将显示管理控制台。
   管理控制台
    ![](/media/202309/2023-09-19_155111_355786.jpeg)
3. 请注意您可以使用的菜单和其他选项：

![](/media/202312/2023-12-08_164340_782131.png)

```
- 单击标记为“Master”的菜单，选择您想要管理的领域或创建一个新领域。
- 单击右上角的列表可查看您的帐户或注销。
- 将鼠标悬停在问号上？图标以显示描述该字段的工具提示文本。
- 单击问号？图标以显示描述该字段的工具提示文本。
```

### Master领域

在管理控制台中，存在两种类型的领域：

- Master 领域- 这个领域是在您第一次启动时为您创建的。它包含您首次登录时创建的管理员帐户。仅使用主领域来创建和管理系统中的领域。
- Other 领域- 这些领域由管理员在主领域中创建。在这些领域中，管理员管理组织中的用户及其所需的应用程序。应用程序归用户所有。

领域和应用

![](/media/202309/2023-09-19_155424_097207.jpeg)
领域相互隔离，只能管理和验证其控制的用户。遵循此安全模型有助于防止意外更改，并遵循仅允许用户帐户访问成功完成当前任务所需的权限和权力的传统。

其他资源

- 如果您想要禁用主领域并在您创建的任何新领域中定义管理员帐户，请参阅专用领域管理控制台。每个领域都有自己专用的管理控制台，您可以使用本地帐户登录。

### 创建一个领域

首次登录时，您通常位于主领域（master），这是您创建其他领域的顶级领域。

在决定您需要什么领域时，请考虑您希望为用户和应用程序提供的隔离类型。例如，您可以为公司的员工创建一个领域，并为您的客户创建一个单独的领域。您的员工将登录员工领域，并且只能访问公司内部应用程序。客户将登录客户领域，并且只能与面向客户的应用程序进行交互。

步骤：

1. 指向左窗格的顶部。
2. 单击创建领域。
   添加领域菜单
    ![](/media/202309/2023-09-19_155831_414188.jpeg)
3. 输入领域的名称。
4. 单击创建。
   ![](/media/202309/2023-09-19_155940_731794.jpeg)

当前领域现已设置为您刚刚创建的领域。您可以通过单击菜单中的领域名称在领域之间切换。

### 为领域配置 SSL（默认即可）

每个领域都有一个关联的 SSL 模式，它定义了与领域交互的 SSL/HTTPS 要求。与领域交互的浏览器和应用程序遵循 SSL 模式定义的 SSL/HTTPS 要求，否则它们无法与服务器交互。

步骤：

1. 单击菜单中的领域设置。
2. 单击常规选项卡。
   常规选项卡
    ![](/media/202309/2023-09-19_160247_846894.jpeg)
3. 将“需要 SSL”设置为以下 SSL 模式之一：

![](/media/202312/2023-12-08_164759_769956.png)

```
- 外部请求 用户可以在没有 SSL 的情况下与系统交互，只要他们坚持使用私有IP地址，例如localhost、127.0.0.1、10.x.x.x、192.168.x.x和172.16.x.x。如果您尝试从非私有 IP 地址访问没有 SSL 的系统，您将收到错误消息。
- 无选项，不需要 SSL。此选择仅适用于当您正在试验且不打算支持此部署时的开发。
- 对于MaxId的所有请求都要求所有 IP 地址都使用 SSL。
```

### 为领域配置电子邮件

当用户忘记密码或管理员需要接收有关服务器事件的通知时，系统会向用户发送电子邮件以验证他们的电子邮件地址。要启用系统发送电子邮件，您需要向系统提供您的 SMTP 服务器设置。

步骤：

1. 单击菜单中的领域设置。
2. 单击电子邮件选项卡。
   电子邮件选项卡
    ![](/media/202309/2023-09-19_160849_341317.jpeg)
3. 填写字段并根据需要切换开关。

**发件人:**

- 发件人表示用于发送电子邮件的发件人 SMTP 标头的地址。
  **发件人展示名称:**
- 从展示名称允许配置用户友好的电子邮件地址别名（可选）。如果未设置，简单的发件人电子邮件地址将显示在电子邮件客户端中。
  **回复地址**
- 回复地址表示用于发送邮件的回复SMTP 标头的地址（可选）。如果未设置，将使用普通的发件人电子邮件地址。
  **回复地址展示名称:**
- 回复地址展示名称允许配置用户友好的电子邮件地址别名（可选）。如果未设置，将显示简单的回复电子邮件地址。
  **信封发件人:**
- 信封发件人表示用于发送邮件的返回路径SMTP 标头的退回地址（可选）
  **主机:**
- 表示用于发送电子邮件的 SMTP 服务器主机名。
  **端口:**
- 端口表示 SMTP 服务器端口。
  **加密:**
- 勾选这些复选框之一以支持发送电子邮件以恢复用户名和密码，特别是当 SMTP 服务器位于外部网络时。您很可能需要将端口更改为 465，这是 SSL/TLS 的默认端口。
  **身份验证:**
- 如果您的 SMTP 服务器需要身份验证，请将此开关设置为ON。出现提示时，提供用户名和密码。密码字段的值可以引用外部保管库中的值。

### 配置主题

对于给定领域，您可以使用主题更改系统中任何 UI 的外观。

步骤：

1. 单击菜单中的领域设置。
2. 单击主题选项卡。
   主题选项卡
    ![](/media/202309/2023-09-19_162923_629504.jpeg)
3. 为每个 UI 类别选择所需的主题，然后单击“保存”。
   - **登录主题**
     用户名密码输入、OTP 输入、新用户注册以及其他与登录相关的类似屏幕。
   - **账户主题**
     每个用户都有一个用户帐户管理 UI。
   - **管理控制台主题**
     管理控制台的皮肤。

### 实现国际化

系统中的每个 UI 屏幕都已国际化。默认语言为英语，但您可以选择要支持的区域设置以及默认区域设置。

步骤：

1. 单击菜单中的**领域设置**。
2. 单击**本地化**选项卡。
3. 启用**国际化**。
4. 选择您将支持的语言。
   ![](/media/202309/2023-09-19_163259_877171.jpeg)
   用户下次登录时，可以在登录页面上选择用于登录屏幕、帐户控制台和管理控制台的语言。

### 控制登录选项

#### 启用忘记密码（需要配置相应的邮箱）

如果启用忘记密码，用户可以在忘记密码或丢失 OTP 生成器时重置其登录凭据。
步骤：

1. 单击菜单中的领域设置。
2. 单击“登录”选项卡。
   登录选项卡
    ![](/media/202309/2023-09-19_164216_597479.jpeg)
3. 将“忘记密码”切换为“开”。
   您的登录页面中会显示一个忘记密码链接。
     ![](/media/202309/2023-09-19_164624_989649.jpeg)
4. 在“电子邮件”选项卡中指定Host和表单，以便系统能够发送重置电子邮件。
5. 单击此链接，用户可以输入用户名或电子邮件地址，并收到一封电子邮件，其中包含用于重置其凭据的链接。
   ![](/media/202309/2023-09-19_164730_461355.jpeg)

当用户单击电子邮件链接时，MaxId会要求他们更新密码，如果他们设置了 OTP 生成器，MaxId会要求他们重新配置 OTP 生成器。根据您组织的安全要求，您可能不希望用户通过电子邮件重置其 OTP 生成器。
   要更改此行为，请执行以下步骤：

1. 单击菜单中的身份验证。
2. 单击“流”选项卡。
3. 选择重置凭据流程。

```
重置凭证流程
![](/media/202309/2023-09-19_165155_262604.jpeg)
如果您不想重置 OTP，请将重新设置OTP，设置为“已禁用”。
```

4. 单击菜单中的身份验证。
5. 单击所需操作选项卡。
6. 确保已启用更新密码。
   所需采取的行动
    ![](/media/202309/2023-09-19_165405_258758.jpeg)

#### 启用“记住我”

录用户关闭浏览器会破坏其会话，并且该用户必须重新登录。如果用户在登录时单击“记住我”复选框，您可以将MaxId设置为保持用户的登录会话打开。此操作将登录 cookie 从仅会话 cookie 转变为持久 cookie。

步骤：

1. 单击菜单中的领域设置。
2. 单击“登录”选项卡。
3. 将“记住我”开关切换至“开”。
   登录选项卡
    ![](/media/202309/2023-09-19_165555_010443.jpeg)
   保存此设置后，领域的登录页面上会显示一个复选框。
    记住账号
    ![](/media/202309/2023-09-19_165635_167295.jpeg)

### 配置领域密钥(在我们添加新的客户端需要)

MaxId使用的身份验证协议需要加密签名，有时还需要加密。MaxId使用非对称密钥对（私钥和公钥）来实现此目的。

MaxId一次有一个主动密钥对，但也可以有多个被动密钥。主动密钥对用于创建新的签名，而被动密钥对可用于验证以前的签名。这使得定期轮换密钥成为可能，而不会造成任何停机或对用户造成干扰。

创建领域时，会自动生成密钥对和自签名证书。
步骤：

1. 单击菜单中的**领域设置**。
2. 单击“**秘钥**”。
3. 从下拉列表中选择“**不活跃的秘钥**”以查看。
4. 从下拉列表中选择“**禁用的秘钥**”以查看。

密钥对可以具有状态Active，但仍然不会被选为领域当前活动的密钥对。用于签名的所选择的活动对是基于按优先级排序的能够提供活动密钥对的第一密钥提供者来选择的。

### 轮换钥匙

我们建议您定期轮换密钥。为此，首先创建优先级高于现有活动密钥的新密钥。或者创建具有相同优先级的新密钥并使以前的密钥处于被动状态。

一旦新密钥可用，所有新令牌和 cookie 都将使用新密钥进行签名。当用户对应用程序进行身份验证时，SSO cookie 将使用新签名进行更新。刷新 OpenID Connect 令牌时，新令牌将使用新密钥进行签名。这意味着随着时间的推移，所有 cookie 和令牌都将使用新密钥，一段时间后旧密钥可以被删除。

删除旧密钥的频率是安全性与确保更新所有 cookie 和令牌之间的权衡。考虑每三到六个月创建一次新密钥，并在创建新密钥一到两个月后删除旧密钥。如果用户在添加新密钥和删除旧密钥之间的时间段内处于非活动状态，则该用户将必须重新进行身份验证。

轮换密钥也适用于离线令牌。为了确保它们得到更新，应用程序需要在删除旧密钥之前刷新令牌。

### 添加生成的密钥对

步骤：

1. 在管理控制台中选择领域。
2. 单击菜单中的领域设置。
3. 单击“秘钥”选项卡。
4. 单击“供应者”选项卡。
5. 单击添加提供程序并选择rsa-generated。
6. 在Priority字段中输入一个数字。该数字决定新密钥对是否成为活动密钥对。
7. 选择AES 密钥大小的值。
8. 单击“保存”。
   此操作将生成一个新的密钥对，其中包括自签名证书。

更改提供程序的优先级不会导致重新生成密钥，但如果您想更改密钥大小，您可以编辑提供程序，然后将生成新密钥。

### 添加现有密钥对和证书

要添加在其他地方获得的密钥对和证书，请从下拉列表中进行选择。您可以更改优先级以确保新密钥对成为活动密钥对。

先决条件

- 私钥文件。文件必须是 PEM 格式。

步骤：

1. 在管理控制台中选择领域。
2. 单击领域设置。
3. 单击“秘钥”选项卡。
4. 单击“添加供应者”选项卡。
5. 单击添加供应商并选择rsa。
6. 在Priority字段中输入一个数字。该数字决定新密钥对是否成为活动密钥对。
7. 单击“RSA 私钥”旁边的“Browser...”上传私钥文件。
8. 如果您有私钥签名证书，请单击X509 证书旁边的“浏览...”以上传证书文件。如果您不上传证书，系统会自动生成自签名证书。
9. 单击“保存”。

### 使秘钥成为被动

步骤：

1. 在管理控制台中选择领域。
2. 单击菜单中的领域设置。
3. 单击“秘钥”选项卡。
4. 单击“提供者”选项卡。
5. 单击您想要设为被动的密钥的供应者。
6. 将“活动”切换为“关闭”。
7. 单击“保存”。

### 禁用秘钥

步骤：

1. 在管理控制台中选择领域。
2. 单击菜单中的领域设置。
3. 单击“秘钥”选项卡。
4. 单击“供应者”选项卡。
5. 单击您想要设为被动的密钥的供应者。
6. 将“启用”切换为“关闭”。
7. 单击“保存”。

### 密钥受损

MaxId将签名密钥仅存储在本地，并且永远不会与客户端应用程序、用户或其他实体共享。但是，如果您认为您的领域签名密钥已被泄露，则应首先如上所述生成新的密钥对，然后立即删除受损的密钥对。

或者，您可以从表中删除提供者。

步骤：

1. 单击菜单中的“客户端” 。
2. 单击安全管理控制台。
3. 向下滚动到功能配置部分。
4. 填写管理 URL字段。
5. 单击高级选项卡。
6. 单击“撤销”部分中的“设置为现在”。
7. 单击“推送”。

推送 not-before 策略可确保客户端应用程序不接受由受损密钥签名的现有令牌。客户端应用程序还被迫从系统下载新的密钥对，因此由受损密钥签名的令牌将无效。