锦中MaxId统一身份认证系统用户操作手册
管理员操作手册
普通用户操作手册
锦集网-锦中集团文档分享与下载平台,提供产品操作手册、产品资料、知识文档、技术集锦等在线学习。
-
+
首页
管理员操作手册
## 一、客户端管理 客户端是可以请求用户身份验证的实体。客户有两种形式。第一种类型的客户端是想要参与单点登录的应用程序。这些客户只是希望MaxId为他们提供安全保障。另一种类型的客户端请求访问令牌,以便它可以代表经过身份验证的用户调用其他服务。下面是有关配置客户端的各个方面以及执行此操作的各种方法。  在其中的Enhance作为我们的增强,其中的.../enhance_plugins/master的配置是固定的,前面的域名可以替换。 首次配置,需要填写正确的有效重定向的URL和首页URL,方可与第三方系统对接 通用设置中的:始终显示在UI中红需要开启,开启后才能在用户端的应用程序中显示。 能力配置中,参照如图配置即可  其他的可以根据需求进行设置 点击master可以创建新的领域  填入领域名称,即可创建新的领域  #### 创建 OpenID Connect 客户端 要保护使用 OpenID 连接协议的应用程序,您需要创建一个客户端。 步骤: 1. 单击菜单中的“客户端” 。 2. 单击创建客户端。 创建客户端  3.将客户端类型设置为OpenID Connect。 4.输入客户端 ID。 此ID是一个字母数字字符串,在OIDC请求和MaxId数据库中用于识别客户端。 5.为客户端提供一个名称。 6.单击“保存”。 #### 基本配置 “**设置**”选项卡包含许多用于配置此客户端的选项。 设置选项卡  ##### 常规设置 **客户ID** 在 OIDC 请求和 MaxId 数据库中用于识别客户端的字母数字 ID 字符串。 **姓名** 显示在页面中的客户端的名称。 **描述** 客户端的描述。此设置也可以本地化。 **始终显示在控制台中** 即使该用户没有活动会话,也始终在帐户控制台中列出该客户端,开启之后即可在普通用户的应用程序模块中进行展示。 ##### 访问设置 **根网址** 如果 MaxId 使用任何配置的相对 URL,则该值会添加到它们前面。 **主页网址** 当身份验证服务器需要重定向或链接回客户端时提供默认 URL。 **有效的重定向 URI** **必填项目****。输入一个有效的 URL路径 ,然后单击 “+” 添加和 “-”删除现有 URL,然后单击保存。您可以在 URL路径 的末尾使用通配符(/*). **网络起源** 输入 URL 的地址,然后单击 “+” 添加现有 URL路径,单击 “-” 删除现有 URL。单击“保存”。 此处列出的域 URL路径 嵌入到发送到客户端应用程序的访问令牌中。客户端应用程序使用此信息来决定是否允许在其上调用 CORS 请求。只有MaxId 客户端适配器支持此功能。 **管理网址** 客户端的回调端点。服务器使用此 URL路径 进行回调,例如推送撤销策略、执行反向通道注销和其他管理操作。对于MaxId servlet 适配器,此 URL路径 可以是 servlet 应用程序的根 URL路径。有关详细信息,请参阅保护应用程序和服务指南。 ##### 能力配置 **客户端认证** OIDC 客户端的类型。 - ON 适用于执行浏览器登录并在发出访问令牌请求时需要客户端密码的服务器客户端。此设置应用于服务器端应用程序。 - OFF 适用于执行浏览器登录的客户端。由于无法确保客户端的机密安全,因此通过配置正确的重定向 URI 来限制访问非常重要。 **授权** 启用或禁用对此客户端的细粒度授权支持。 **标准流量** 如果启用,此客户端可以使用 OIDC授权代码流。 **直接访问补助金** 如果启用,此客户端可以使用 OIDC直接访问授权。 **隐式流程** 如果启用,此客户端可以使用 OIDC隐式流。 **服务帐户角色** 如果启用,该客户端可以向 MaxId 进行身份验证并检索专用于该客户端的访问令牌。就 OAuth2 规范而言,这可以支持Client Credentials Grant该客户端。 Auth 2.0 **设备授权授予** 如果启用,该客户端可以使用 OIDC设备授权。 OIDC CIBA **补助金** 如果启用,此客户端可以使用 OIDC客户端发起的反向通道身份验证授予。 ##### 登录设置 **登录主题** 用于登录、OTP、授权注册和忘记密码页面的主题。 **需要同意** 如果启用,用户必须同意客户端访问。 适用于执行浏览器登录的客户端客户端。由于无法确保客户端的机密安全,因此通过配置正确的重定向 URI 来限制访问非常重要。 **在屏幕上显示客户端** 如果“需要同意”设置为“关闭”,则此开关适用。 - OFF 同意屏幕将仅包含与配置的客户端范围相对应的同意。 - ON 同意屏幕上还会有一项关于该客户本身的项目。 **客户同意屏幕文本** 如果启用了“需要同意”和“在屏幕上显示客户端”,则适用。包含同意屏幕上有关此客户端权限的文本。 ##### 注销设置 **前端通道注销** 如果启用前通道注销,则应用程序应该能够根据OpenID Connect 前通道注销规范通过前通道注销用户。如果启用,您还应该提供Front-Channel Logout URL. **前端通道注销 URL** MaxId将使用该 URL 通过前端通道向客户端发送注销请求。 **反向通道注销 URL** 当注销请求发送到此领域时,将导致客户端自行注销的 URL。如果省略,则不会向客户端发送注销请求。 **需要反向通道注销会话** 指定当使用反向通道注销 URL路径时,会话 ID 声明是否包含在注销令牌中。 **反向通道注销撤销离线会话** 指定当使用反向通道注销 URL路径 时,注销令牌中是否包含 revoke_offline_access事件。当收到此事件的注销令牌时,MaxId将撤销离线会话。 #### 高级配置 完成“设置”选项卡上的字段后,您可以使用其他选项卡执行高级配置。例如,您可以使用“权限”和“角色”选项卡为管理员配置细粒度的身份验证。 **高级选项卡** 单击“**高级**”选项卡时,会显示其他字段。有关特定字段的详细信息,请单击该字段的问号图标。然而,本节详细描述了某些字段。 细粒度 OpenID Connect 配置 **标志网址** 引用客户端应用程序徽标的 URL。 **政策网址** 依赖方客户端向最终用户提供的 URL,用于了解如何使用配置文件数据。 **服务条款网址** 依赖方客户端向最终用户提供的 URL,用于阅读依赖方的服务条款。 **签名和加密的 ID 令牌支持** MaxId 可以根据Json Web 加密 (JWE)规范对 ID 令牌进行加密。管理员确定是否对每个客户端的 ID 令牌进行加密。 用于加密 ID 令牌的密钥是内容加密密钥 (CEK)。MaxId 和客户端必须协商使用哪个 CEK 以及如何交付它。确定CEK的方法是密钥管理模式。MaxId支持的密钥管理模式是密钥加密。 在密钥加密中: 1. 客户端生成非对称密钥对。 2. 公钥用于加密 CEK。 3. MaxId 为每个 ID 令牌生成一个 CEK 4. MaxId 使用生成的 CEK 加密 ID 令牌 5. MaxId 使用客户端的公钥对 CEK 进行加密。 6. 客户端使用其私钥解密此加密的 CEK 7. 客户端使用解密的 CEK 解密 ID 令牌。 除客户端之外,任何一方都无法解密 ID 令牌。 客户端必须将用于加密 CEK 的公钥传递给 MaxId。MaxId支持从客户端提供的URL下载公钥。客户端必须根据Json Web Keys (JWK)规范提供公钥。 程序是: 1. 打开客户端的“密钥”选项卡。 2. 将JWKS URL切换为“开”。 3. 在JWKS URL文本框中输入客户端的公钥 URL 。 密钥加密的算法在Json Web 算法 (JWA)规范中定义。MaxId 支持: - RSAES-PKCS1-v1_5(RSA1_5) - 使用默认参数的 RSAES OAEP (RSA-OAEP) - 使用 SHA-256 和 MFG1 的 RSAES OAEP 256 (RSA-OAEP-256) 选择算法的过程是: 1. 打开客户端的“高级”选项卡。 2. 打开细粒度 OpenID Connect 配置。 3. 从ID 令牌加密内容加密算法下拉菜单中选择算法。 Open ID Connect 兼容模式 此部分的存在是为了向后兼容。单击问号图标以获取每个字段的详细信息。 **启用 OAuth 2.0 相互 TLS 证书绑定访问令牌** 相互 TLS 将访问令牌和刷新令牌与客户端证书绑定在一起,并在 TLS 握手期间交换客户端证书。此绑定可防止攻击者使用被盗的令牌。 这种类型的令牌是密钥持有者令牌。与不记名令牌不同,密钥持有者令牌的接收者可以验证令牌的发送者是否合法。 如果启用此设置,则工作流程为: 1. 令牌请求在授权代码流或混合流中发送到令牌端点。 2. MaxId 请求客户端证书。 3. MaxId 接收客户端证书。 4. MaxId 成功验证客户端证书。 如果验证失败,MaxId 会拒绝该令牌。 在以下情况下,MaxId将验证发送访问令牌或刷新令牌的客户端: - 令牌刷新请求使用密钥持有者刷新令牌发送到令牌端点。 - UserInfo 请求使用密钥持有者访问令牌发送到 UserInfo 端点。 - 注销请求使用密钥持有者刷新令牌发送到注销端点。 #### 使用服务帐户 每个 OIDC 客户端都有一个内置的服务帐户。使用此服务帐户获取访问令牌。 程序 1. 单击菜单中的“**客户端**” 。 2. 选择您的客户。 3. 单击“**设置**”选项卡。 4. 将客户端身份验证切换为On。 5. 选择**服务帐户角色**。 6. 单击“**保存**”。 7. 配置您的客户端凭据。 8. 单击**范围**选项卡。 9. 验证您是否具有角色或将**允许的完整范围**切换为**ON**。 10. 单击**服务帐户角色**选项卡 11. 为您的客户端配置此服务帐户可用的角色。 访问令牌的角色是以下各项的交集: - 客户端的角色范围映射与从链接的客户端范围继承的角色范围映射相结合。 - 服务帐户角色。 ## 二、客户端作用域(默认即可) 使用 MaxId 在称为客户端作用域的实体中定义共享客户端配置。客户端范围为多个客户端配置协议映射器和角色范围映射。 客户端范围还支持 OAuth 2**范围**参数。客户端应用程序使用此参数来请求访问令牌中的声明或角色,具体取决于应用程序的要求。 要创建客户端范围,请执行以下步骤: 1. 单击菜单中的客户端范围。 客户范围列表  2. 单击创建。 3. 命名您的客户范围。 4. 单击“保存”。 客户端范围具有与常规客户端类似的选项卡。您可以定义协议映射器和角色范围映射。这些映射可以由其他客户端继承,并配置为从此客户端范围继承。 协议 创建客户端范围时,选择Protocol。在同一范围内链接的客户端必须具有相同的协议。 每个领域在菜单中都有一组预定义的内置客户端范围。 客户范围**配置**文件、**电子邮件**、地址和**电话均在**OpenID Connect 规范中定义。这些作用域没有定义任何角色作用域映射,但它们确实定义了协议映射器。这些映射器对应于 OpenID Connect 规范中定义的声明。 例如,当您打开**电话**客户端范围并打开**映射器选项卡时,您将看到与范围电话**规范中定义的声明相对应的协议映射器。 客户端范围映射器  当电话客户端作用域链接到客户端时,客户端会自动继承电话客户端作用域中定义的所有协议映射器。假设用户具有已定义的电话号码,为此客户端颁发的访问令牌包含有关用户的电话号码信息。 内置客户端范围包含规范中定义的协议映射器。您可以自由编辑客户端范围并创建、更新或删除任何协议映射器或角色范围映射。 ### 许可相关设置 客户端范围包含与许可页面相关的选项。如果在客户端上启用了“需要许可” ,则这些选项非常有用。 在许可页面上显示 如果启用在**许可页面**上显示,并且范围已添加到需要许可的客户端,则许可页面显示的文本中指定的文本将显示在许可页面上。当用户经过身份验证且用户从 MaxId 重定向到客户端之前,会显示此文本。如果禁用在许可页面上显示,则此客户端范围将不会显示在许可页面上。 许可页面显示的文本 当需要同意时将此客户端范围添加到客户端时,许可页面上显示的文本默认为客户端范围的名称。**可以通过**使用${var-name}字符串指定替换变量来自定义此文本的值。自定义值在主题的属性文件中配置。 ### 将客户端范围与客户端链接起来 客户端作用域和客户端之间的链接是在客户端的“客户端作用域”选项卡中配置的。可以使用两种方式来链接客户端范围和客户端。 **默认客户端范围** 此设置适用于 OpenID Connect 和 SAML 客户端。为客户端发出 OpenID Connect 令牌或 SAML 断言时,将应用默认客户端范围。客户端将继承在客户端范围上定义的协议映射器和角色范围映射。对于 OpenID Connect 协议,始终应用映射器和角色范围映射,无论 OpenID Connect 授权请求中的范围参数使用什么值。 **可选的客户范围** 此设置仅适用于 OpenID Connect 客户端。为该客户端颁发令牌时,会应用可选客户端范围,但仅当OpenID Connect 授权请求中的范围参数请求时才应用。 例子 对于此示例,假设客户将**个人资料和电子邮件**链接为默认客户范围,并将电话和地址链接为可选客户范围。客户端在向 OpenID Connect 授权端点发送请求时使用范围参数的值。 `scope=openid phone` 范围参数包含字符串,范围值除以空格。值openid是用于所有 OpenID Connect 请求的元值。该令牌将包含来自默认客户端范围配置文件和电子邮件以及电话(范围参数请求的可选客户端范围)的映射器和角色范围映射。 ### 评估客户范围 “映射器”选项卡包含协议映射器,“范围”选项卡包含为此客户端声明的角色范围映射。它们不包含从客户端范围继承的映射器和范围映射。可以看到有效的协议映射器(即在客户端本身定义的协议映射器以及从链接的客户端范围继承的协议映射器)以及为客户端生成令牌时使用的有效角色范围映射。 程序 1. 单击客户端的“客户端范围”选项卡。 2. 打开子选项卡评估。 3. 选择您要应用的可选客户端范围。 这还将显示范围参数的值。该参数需要从应用程序发送到 MaxId OpenID Connect 授权端点。 评估客户范围  所有示例都是为特定用户生成的,并为特定客户端发出的,并具有指定的范围参数值。这些示例包括使用的所有声明和角色映射。 ### 客户端范围权限 向用户颁发令牌时,仅当允许用户使用客户端范围时才适用。 当客户端作用域未定义任何角色作用域映射时,每个用户都可以使用此客户端作用域。但是,当客户端作用域定义了角色作用域映射时,用户必须是至少其中一个角色的成员。用户角色和客户端范围的角色之间必须存在交集。评估这种交集时会考虑复合角色。 如果不允许用户使用客户端范围,则在生成令牌时将不会使用协议映射器或角色范围映射。客户端范围不会出现在令牌的范围值中。 #### Realm 默认客户端范围 使用**领域默认客户端范围**来定义自动链接到新创建的客户端的客户端范围集。 程序 1.单击客户端的“客户端范围”选项卡。 从这里,选择要添加为默认客户端范围到新创建的客户端和可选客户端范围的客户端范围。 默认客户端范围  创建客户端时,您可以根据需要取消链接默认客户端范围。这类似于删除默认角色。 ### 范围解释 **客户范围** 客户端范围是 MaxId 中在领域级别配置的实体,可以链接到客户端。当请求使用范围参数的相应值发送到 MaxId 授权端点时,客户端范围将通过其名称进行引用。 **角色范围映射** 这可以在客户端或客户端范围的“范围”选项卡下找到。使用角色范围映射来限制可以在访问令牌中使用的角色。 **授权范围** 授权范围涵盖可以在应用程序中执行的操作。 ## 三、领域角色 ## 使用角色和组分配权限 角色和分组具有相似的目的,即授予用户使用应用程序的访问权限和权限。分组组是您应用角色和属性的用户的集合。角色定义特定的应用程序权限和访问控制。 角色通常适用于一种类型的用户。例如,组织可能包括管理员、普通用户、经理和员工角色。应用程序可以将访问权限和权限分配给角色,然后将多个用户分配给该角色,以便用户具有相同的访问权限和权限。例如,管理控制台具有授予用户访问管理控制台不同部分的权限的角色。 角色有一个全局命名空间,每个客户端也有自己的专用命名空间,可以在其中定义角色。 ### 创建领域角色  程序: 1. 单击创建角色。 2. 输入角色名称。 3. 输入描述。 4. 单击“保存”。 添加角色  本地化值在主题属性文件中配置为您的主题。 ### 客户端角色 客户端角色是专用于客户端的命名空间。每个客户端都有自己的命名空间。客户端角色在每个客户端的“**角色**”选项卡下进行管理。您与此 UI 的交互方式与与领域级角色的交互方式相同。 ### 将角色转换为复合角色 任何领域或客户端级别的角色都可以成为复合角色。复合角色是具有一个或多个与其关联的附加角色的角色。当复合角色映射到用户时,用户将获得与复合角色关联的角色。这种继承是递归的,因此用户还可以继承任何组合的组合。但是,我们建议不要过度使用复合角色。 步骤(在用户): 1. 单击菜单中的领域角色,点击角色名称,点击关联的角色。 2. 单击您要转换的角色。 3. 从操作列表中,选择添加关联角色。 4. 首次可在用户管理中配置 复合角色  角色选择 UI 将显示在页面上,您可以将领域级别和客户端级别角色关联到您正在创建的复合角色。 在此示例中,员工领域级角色与开发人员复合角色相关联。任何具有开发人员角色的用户也会继承员工角色。 ### 分配角色映射 您可以通过该用户的“**角色映射**”选项卡将角色映射分配给该用户。 程序 1. 单击菜单中的用户。 2. 单击要对其执行角色映射的用户。 3. 单击角色映射选项卡。 4. 单击分配角色。 5. 从对话框中选择要分配给用户的角色。 6. 单击分配。 角色映射  在前面的示例中,我们将复合角色开发人员分配给用户。该角色是在复合角色主题中创建的。 有效的角色映射  分配开发人员角色后,与开发人员组合关联的员工角色将显示为Inherited “True”。继承角色是显式分配给用户的角色和从组合继承的角色。 ### 使用默认角色 通过Identity Brokering创建或导入用户时,使用默认角色自动分配用户角色映射。 程序 1. 单击菜单中的领域设置。 2. 单击用户注册选项卡。 默认角色  此屏幕截图显示一些默认角色已经存在。 ### 角色范围映射 创建 OIDC 访问令牌或 SAML 断言时,用户角色映射将成为令牌或断言内的声明。应用程序使用这些声明来对应用程序控制的资源做出访问决策。MaxId 对访问令牌进行数字签名,应用程序重新使用它们来调用远程安全的接口服务。然而,这些具有相关的风险。攻击者可以获取这些令牌并使用它们的权限来破坏您的网络。为了防止这种情况,请使用角色范围映射。 默认情况下,每个客户端都会获取该用户的所有角色映射。您可以查看客户端的角色映射。 程序 1. 单击菜单中的“客户端” 。 2. 点击客户端即可查看详细信息。 3. 单击客户端范围选项卡。 4. 单击该客户端的专用范围和映射器行中的链接 5. 单击范围选项卡。 范围全面  默认情况下,作用域的有效角色是领域中每个已声明的角色。要更改此默认行为,请将“允许的完整范围”切换为“关闭”,并声明您希望在每个客户端中扮演的特定角色。您还可以使用客户端范围为一组客户端定义相同的角色范围映射。 部分范围  ## 四、用户管理 ### 创建用户 您可以在想要拥有这些用户所需的应用程序的领域中创建用户。避免在主领域中创建用户,该领域仅用于创建其他领域。 步骤: 1. 单击菜单中的用户。 2. 单击“添加用户”。 3. 输入新用户的详细信息。用户名是唯一必填字段。 4. 单击“保存”。保存详细信息后,将显示新用户的管理页面。  ### 定义用户凭证 您可以在“凭据”选项卡中管理用户的凭据。 凭证管理  您可以通过拖放行来更改凭据的优先级。新顺序确定该用户的凭据的优先级。最上面的凭证具有最高优先级。优先级决定用户登录后首先显示哪个凭证。 **类型** 此列显示凭据的类型,例如密码或OTP。 **用户标签** 这是一个可分配的标签,用于在登录期间作为选择选项呈现时识别凭证。它可以设置为任何值来描述凭证。 **数据** 这是有关凭证的非机密技术信息。默认情况下它是隐藏的。您可以单击显示数据以显示凭证的数据。 **行动** 单击“重置密码”以更改用户的密码,然后单击“删除”以删除凭据。 您无法在管理控制台中为特定用户配置其他类型的凭据;该任务是用户的责任。 如果用户丢失 OTP 设备或凭据遭到泄露,您可以删除用户的凭据。您只能在“凭据”选项卡中删除用户的凭据。 ### 为用户设置密码 如果用户没有密码,或者密码已被删除,则会显示“设置密码”部分。 如果用户已有密码,可以在“重置密码”部分重置密码。 步骤: 1. 单击菜单中的用户。将显示“用户”页面。 2. 选择一个用户。 3. 单击凭据选项卡。 4. 在“设置密码”部分中输入新密码。 5. 单击“设置密码”。 如果临时开启为On,则用户必须在首次登录时更改密码。要允许用户保留所提供的密码,请将“临时”设置为“关闭”。 用户必须单击“设置密码”才能更改密码。 ### 配置用户属性 用户属性为每个用户提供定制的体验。您可以通过配置用户属性,在控制台为每个用户创建个性化身份。 用户  先决条件 - 您位于用户所在的领域。 步骤: 1. 单击菜单中的用户。 2. 选择要管理的用户。 3. 单击属性选项卡。 4. 在“键”字段中输入属性名称。 5. 在“值”字段中输入属性值。 6. 单击“保存”。  ### 允许用户自行注册 您可以使用MaxId作为第三方授权服务器来管理应用程序用户,包括自行注册的用户。如果您启用自助注册,登录页面将显示注册链接,以便用户可以创建帐户。 注册链接  用户必须将个人资料信息添加到注册表中才能完成注册。可以通过删除或添加用户必须填写的字段来自定义注册表单。 启用用户注册 允许用户自行注册。 步骤: 1. 单击主菜单中的领域设置。 2. 单击“登录”选项卡。 3. 将用户注册切换为ON。 4. 单击“保存”。 启用此设置后,管理控制台的登录页面上会显示注册链接。 ### 注册为新用户 作为新用户,您必须填写注册表才能首次登录。您添加个人资料信息和密码进行注册。 注册表格  先决条件 - 已启用用户注册。 步骤: 1. 单击登录页面上的注册链接。显示注册页面。 2. 输入用户个人资料信息。 3. 输入新密码。 4. 单击“保存”。 ### 定义登录时所需的操作 您可以设置用户首次登录时必须执行的操作。用户提供凭据后需要执行这些操作。首次登录后,不再需要执行这些操作。您可以在该用户的“**详细信息**”选项卡上添加所需的操作。 以下是所需操作类型的示例: **更新密码** 用户必须更改密码。 **验证邮件** 用户必须验证他们的电子邮件帐户。将向用户发送一封电子邮件,其中包含用户必须单击的验证链接。一旦此工作流程成功完成,用户将被允许登录。 **更新个人信息** 用户必须更新个人资料信息,例如姓名、地址、电子邮件和电话号码。 ### 为一名用户设置所需的操作 您可以设置任何用户所需的操作。 步骤: 1. 单击菜单中的用户。 2. 从列表中选择一个用户。 3. 导航至所需的用户操作列表。  4. 选择要添加到帐户的所有操作。 5. 单击操作名称旁边的X将其删除。 6. 选择要添加的操作后,单击“保存” 。 ### 为所有用户设置所需的操作 您可以指定所有新用户首次登录之前需要执行哪些操作。这些要求适用于通过“用户”页面上的“添加用户”按钮或登录页面上的“注册”链接创建的用户。 步骤: 1. 单击菜单中的身份验证。 2. 单击所需操作选项卡。 3. 单击“设置为默认操作”列中的复选框以获取一项或多项所需操作。当新用户第一次登录时,必须执行所选的操作。 ### 搜索用户 搜索用户以查看有关用户的详细信息,例如用户的组和角色。 先决条件 - 您位于用户所在的领域。 步骤: 1. 单击主菜单中的用户。将显示此用户页面。 2. 在搜索框中键入要搜索的用户的全名、姓氏、名字或电子邮件地址。搜索将返回符合您条件的所有用户。 ### 删除用户 您可以删除不再需要访问应用程序的用户。如果删除用户,则用户配置文件和数据也会被删除。 步骤: 1. 单击菜单中的用户。将显示“用户”页面。 2. 单击“查看所有用户”以查找要删除的用户。 3. 单击菜单中的用户。将显示“用户”页面。 4. 单击要删除的用户旁边的操作菜单中的“删除”并确认删除。 ### 允许用户删除帐户 如果您在管理控制台中启用此功能,最终用户和应用程序可以在帐户控制台中删除其帐户。启用此功能后,您可以将该功能授予特定用户。 #### 启用删除帐户功能启用删除帐户功能 您可以在“所需操作”选项卡上启用此功能。 步骤: 1. 单击菜单中的身份验证。 2. 单击所需操作选项卡。 3. 在“删除帐户”行中选择“启用”。 在所需操作选项卡上删除帐户  #### 为用户授予删除帐户角色 您可以为特定用户授予允许删除帐户的角色。 步骤: 1. 单击菜单中的用户。 2. 选择一个用户。 3. 单击角色映射选项卡。 4. 单击分配角色按钮。 5. 点击删除-账户。 6. 单击分配。 删除账户角色  #### 删除您的帐户 一旦您拥有删除帐户角色,您就可以删除自己的帐户。 1. 登录帐户控制台。 2. 在“个人信息”页面底部,点击“删除帐户”。 3. 输入您的凭据并确认删除。 ### 模拟用户 具有适当权限的管理员可以模拟用户。例如,如果用户在应用程序中遇到错误,管理员可以模拟该用户来调查或复制该问题。 步骤: 1. 单击菜单中的用户。 2. 单击要模拟的用户。 3. 从操作列表中,选择模拟  - 如果管理员和用户位于同一领域,则管理员将被注销并自动以被模拟的用户身份登录。 - 如果管理员和用户位于不同的领域,则管理员将保持登录状态,并且另外将以该用户领域中的用户身份登录。 ### 定义用户配置文件(该配置在默认情况下是禁止的) 在MaxId中,用户与一组属性相关联。这些属性用于更好地描述和识别MaxId中的用户,并将有关用户的附加信息传递给应用程序。 用户配置文件定义了一个定义良好的模式,用于表示用户属性以及如何在领域内管理它们。通过提供对用户信息的一致视图,它允许管理员控制属性管理方式的不同方面,并使扩展 MaxId以支持其他属性变得更加容易。 ## 五、群组管理 MaxId 中的群组管理中每个用户的一组通用属性和角色映射。用户可以是任意数量的群组的成员,并继承分配给每个组的属性和角色映射。 要管理组,请单击菜单中的群组管理。 群组  群体是有等级的。一个组可以有多个子组,但一个组只能有一个父组。子组从其父组继承属性和角色映射。用户也从其父级继承属性和角色映射。 如果您有父组和子组,并且用户仅属于子组,则子组中的用户将继承父组和子组的属性和角色映射。 以下示例: 要添加组: 1. 单击该群组管理。 2. 单击创建组。 3. 输入组名称。 4. 单击创建。 5. 单击组名称。 显示群组管理页面。 分组  您定义的属性和角色映射将由属于该组成员的组和用户继承。 要将用户添加到组中: 1. 单击菜单中的用户。 2. 单击要对其执行角色映射的用户。如果未显示用户,请单击查看所有用户。 3. 单击“群组管理”。 用户组  4. 单击加入组。 5. 从对话框中选择一个组。 6. 从可用组树中选择一个组。 7. 单击“加入”。 要从用户中删除组: 1. 单击菜单中的用户。 2. 单击要从组中删除的用户。 3. 单击组表行上的离开。  ## 六、会话管理 要查看 MaxId 中活动客户端和会话的顶级视图,请从菜单中单击会话管理。 会话管理  ### 注销所有活动会话 您可以注销领域中的所有用户。从操作列表中,选择注销所有活动会话。所有 SSO中的 cookie 均无效。MaxId 通过使用 OIDC 客户端适配器通知客户端注销事件。在活动浏览器会话中请求身份验证的客户端必须再次登录。SAML 等客户端类型不会收到反向通道注销请求。 ### 查看客户端会话 步骤: 1. 单击菜单中的“客户端” 。 2. 单击会话选项卡。 3. 单击某个客户端即可查看该客户端的会话。 客户会话  ### 查看用户会话 步骤: 1. 单击菜单中的用户。 2. 单击会话选项卡。 3. 单击用户可查看该用户的会话。 用户会话  ### 撤销活动会话 如果您的系统受到威胁,您可以撤销所有活动会话和访问令牌。 步骤: 1. 单击菜单中的会话。 2. 从操作列表中,选择注销所有活动会话。 撤销  3. 指定一个时间和日期,使用此控制台在该时间和日期之前发出的会话或令牌无效。 - 单击“设置为现在”将策略设置为当前时间和日期。 - 单击“推送”将此吊销策略推送到使用 MaxId OIDC 客户端适配器注册的任何OIDC 客户端。 ### 会话和令牌超时 MaxId 包括通过领域设置菜单中的“会话”和“令牌”选项卡来控制会话、cookie 和令牌超时。 会话选项卡  | 配置 | 描述 | |-------------|-------------------------------------------------------------------------------------------------------------------------| | SSO 会话空闲 | 此设置仅适用于 OIDC 客户端。如果用户处于非活动状态的时间超过此超时,则用户会话将失效。当客户端请求身份验证或发送刷新令牌请求时,此超时值将重置。MaxId 在会话失效生效之前为空闲超时添加了一个时间窗口。请参阅本节后面的注释。 | | SSO 最大会话数 | 用户会话过期之前的最长时间。 | | SSO 会话空闲记住我 | 此设置类似于标准 SSO 会话空闲配置,但特定于启用“记住我”的登录。用户在登录时单击“记住我”时可以指定更长的会话空闲超时。此设置是可选配置,如果其值不大于零,则它使用与 SSO 会话空闲配置相同的空闲超时。 | | SSO 会话最大记住我 | 此设置类似于标准 SSO 会话最大值,但特定于“记住我”登录。用户在登录时单击“记住我”时可以指定更长的会话。此设置是可选配置,如果其值不大于零,则它使用与 SSO 会话最大配置相同的会话生命周期。 | | 客户端会话空闲 | 如果用户处于非活动状态的时间超过此超时,则刷新令牌请求会增加空闲超时。此设置指定刷新令牌的空闲超时比会话空闲超时更短,但用户可以为各个客户端覆盖它。此设置是可选配置,当设置为零时,将在 SSO 会话空闲配置中使用相同的空闲超时。 | | 最大客户端会话数 | 刷新令牌过期并失效之前的最长时间。此设置指定的刷新令牌超时比会话超时更短,但用户可以为各个客户端覆盖它。此设置是可选配置,当设置为零时,将在 SSO 会话最大配置中使用相同的空闲超时。 | | 离线会话空闲 | 此设置用于离线访问。在 MaxId 撤销其脱机令牌之前会话保持空闲的时间。MaxId 在会话失效生效之前为空闲超时添加了一个时间窗口。请参阅本节后面的 注释。 | | 离线会话最大限制 | 此设置用于离线访问。如果此标志为ON,则 Offline Session Max 可以控制脱机令牌保持活动的最长时间,而不管用户活动如何。客户端离线会话空闲和客户端离线会话最大已启用。 | | 最大离线会话数 | 这个设置是针对离线访问的,是MaxId撤销对应离线token的最长时间。此选项控制离线令牌保持活动状态的最长时间,无论用户活动如何。 | | 登录超时 | 登录必须花费的总时间。如果身份验证花费的时间超过此时间,则用户必须重新启动身份验证过程。 | | 登录操作超时 | 用户在身份验证过程中可以在任何一页上花费的最长时间。 | 令牌选项卡  | 配置 | 描述 | |--------------|----------------------------------------------------------------------| | 默认签名算法 | 用于为领域分配令牌的默认算法。 | | 撤销刷新令牌 | 当无法工作时,MaxId 会撤销刷新令牌并颁发客户端必须使用的另一个令牌。此操作适用于执行刷新令牌流的 OIDC 客户端。 | | 访问令牌的有效期 | 当 MaxId 创建 OIDC 访问令牌时,该值控制令牌的生命周期。 | | 隐式流的访问令牌生命周期 | 对于隐式流程,MaxId 不提供刷新令牌。隐式流创建的访问令牌存在单独的超时。 | | 客户端登录超时 | 客户端必须在 OIDC 中完成授权代码流程之前的最长时间。 | | 用户发起的操作的生命周期 | 用户操作权限到期之前的最长时间。保持该值较短,因为用户通常会对自行创建的操作做出快速反应。 | | 默认管理员启动的操作寿命 | 管理员发送给用户的操作权限到期之前的最长时间。保留此值较长,以便管理员可以向离线用户发送电子邮件。管理员可以在颁发令牌之前覆盖默认超时。 | | 电子邮件验证 | 指定电子邮件验证的独立超时。 | | IdP 帐户电子邮件验证 | 指定 IdP 帐户电子邮件验证的独立超时。 | | 忘记密码 | 指定忘记密码的独立超时。 | | 执行动作 | 指定执行操作的独立超时。 | ## 七、事件管理 ## 事件管理(配置审核以跟踪事件) MaxId 包含一套审核功能。您可以记录每次登录和管理员操作,并在管理控制台中查看这些操作。MaxId 还包括一个侦听器 SPI,用于侦听事件并可以触发操作。内置侦听器的示例包括日志文件和在事件发生时发送电子邮件,也可以添加特定的监听事件。 ### 审核用户事件 您可以记录和查看影响用户的每个事件。MaxId 会触发诸如用户成功登录、用户输入错误密码或用户帐户更新等操作的登录事件。默认情况下,MaxId 不会在管理控制台中存储或显示事件。仅错误事件会记录到管理控制台和服务器的日志文件中。 步骤: 使用此过程开始审核用户事件。 1. 单击菜单中的领域设置。 2. 单击“事件”选项卡。 3. 单击用户事件设置选项卡。 4. 将“保存事件”切换为“开”。 用户事件设置  5. 在“过期”字段中指定存储事件的时间长度。 6. 单击添加保存的类型以查看您可以保存的其他事件。 添加类型  7. 单击“添加”。 当您想要删除所有已保存的事件时,请单击“清除用户事件” 。 步骤: 您现在可以查看事件。 1. 单击菜单中的“事件”选项卡。 用户事件  2. 要过滤事件,请单击“搜索用户事件”。 搜索用户事件  ### 事件类型 **登录事件:** | 事件 | 描述 | |-------|------------------| | 登录 | 用户登录。 | | 登记 | 用户注册。 | | 登出 | 用户注销。 | | 代码到令牌 | 应用程序或客户端用代码交换令牌。 | | 刷新令牌 | 应用程序或客户端刷新令牌。 | **账户事件:** | 事件 | 描述 | |---------|------------------------------| | 社交链接 | 用户帐户链接到社交媒体提供商。 | | 删除社交链接 | 从社交媒体帐户到用户帐户的链接断开。 | | 更新电子邮件 | 帐户的电子邮件地址发生变化。 | | 更新个人信息 | 帐户的配置文件发生变化。 | | 发送密码重置 | MaxIdk 发送密码重置电子邮件。 | | 更新密码 | 帐户密码发生变化。 | | 更新TOTP | 帐户的基于时间的一次性密码 (TOTP) 设置发生变化。 | | 删除 TOTP | MaxId 从帐户中删除 TOTP。 | | 发送验证邮件 | MaxId 发送一封电子邮件验证电子邮件。 | | 验证邮件 | MaxId 验证帐户的电子邮件地址。 | 每个事件都有一个对应的错误事件。 ### 审核管理事件 您可以记录管理员在管理控制台中执行的所有操作。管理控制台通过调用 MaxId REST 接口来执行管理操作,并且 MaxId 审核这些 REST 调用。您可以在管理控制台中查看生成的事件。 步骤: 使用此过程开始审核管理操作。 1. 单击菜单中的**领域设置**。 2. 单击“**事件**”选项卡。 3. 单击**管理事件设置**选项卡。 4. 将“**保存事件**”切换为“**开**”。 MaxId 显示“**包含表示**”开关。 5. 将“包含表示”切换为“开”。 管理事件设置  6. 单击“保存”。 7. 要清除存储操作的数据库,请单击“清除管理事件”。 步骤: 您现在可以查看管理事件。 1. 单击菜单中的“事件” 。 2. 单击管理事件选项卡。 管理事件  ## 八、领域设置 拥有管理页面的管理帐户后,您就可以配置领域。领域是您管理对象的空间,包括用户、应用程序、角色和组。用户属于并登录到某个领域。一项部署可以定义、存储和管理与数据库中的空间一样多的领域。 ### 使用管理控制台 您可以在管理控制台中配置领域并执行大多数管理任务。 先决条件 - 您需要一个管理员帐户。  - 单击标记为“Master”的菜单,选择您想要管理的领域或创建一个新领域。 - 单击右上角的列表可查看您的帐户或注销。 - 将鼠标悬停在问号上?图标以显示描述该字段的工具提示文本。上图显示了正在运行的工具提示。 - 单击问号?图标以显示描述该字段的工具提示文本。上图显示了正在运行的工具提示。 ### Master领域 在管理控制台中,存在两种类型的领域: - Master realm- 这个领域是在您第一次启动时为您创建的。它包含您首次登录时创建的管理员帐户。仅使用主领域来创建和管理系统中的领域。 - Other realms- 这些领域由管理员在主领域中创建。在这些领域中,管理员管理组织中的用户及其所需的应用程序。应用程序归用户所有。 领域和应用  领域相互隔离,只能管理和验证其控制的用户。遵循此安全模型有助于防止意外更改,并遵循仅允许用户帐户访问成功完成当前任务所需的权限和权力的传统。 其他资源 - 如果您想要禁用主领域并在您创建的任何新领域中定义管理员帐户。每个领域都有自己专用的管理控制台,您可以使用本地帐户登录。 ### 创建一个领域 您创建一个领域来提供管理空间,您可以在其中创建用户并授予他们使用应用程序的权限。首次登录时,您通常位于主领域,这是您创建其他领域的顶级领域。 在决定您需要什么领域时,请考虑您希望为用户和应用程序提供的隔离类型。例如,您可以为公司的员工创建一个领域,并为您的客户创建一个单独的领域。您的员工将登录员工领域,并且只能访问公司内部应用程序。客户将登录客户领域,并且只能与面向客户的应用程序进行交互。 步骤: 1. 指向左窗格的顶部。 2. 单击创建领域。 添加领域菜单  3. 输入领域的名称。 4. 单击创建。  当前领域现已设置为您刚刚创建的领域。您可以通过单击菜单中的领域名称在领域之间切换。 ### 为领域配置 SSL(默认即可,点击保存) 每个领域都有一个关联的 SSL 模式,它定义了与领域交互的 SSL/HTTPS 要求。与领域交互的浏览器和应用程序遵循 SSL 模式定义的 SSL/HTTPS 要求,否则它们无法与服务器交互。 步骤: 1. 单击菜单中的领域设置。 2. 单击常规选项卡。 常规选项卡  3. 将“需要 SSL”设置为以下 SSL 模式之一: - 外部请求 用户可以在没有 SSL 的情况下与系统交互,只要他们坚持使用私有IP地址,例如localhost、127.0.0.1、10.x.x.x、192.168.x.x和172.16.x.x。如果您尝试从非私有 IP 地址访问没有 SSL 的系统,您将收到错误消息。 - 无MaxId不需要 SSL。此选择仅适用于当您正在试验且不打算支持此部署时的开发。 - 对于MaxId的所有请求都要求所有 IP 地址都使用 SSL。 ### 为领域配置电子邮件 当用户忘记密码或管理员需要接收有关服务器事件的通知时,系统会向用户发送电子邮件以验证他们的电子邮件地址。要启用系统发送电子邮件,您需要向系统提供您的 SMTP 服务器设置。 步骤: 1. 单击菜单中的领域设置。 2. 单击电子邮件选项卡。 电子邮件选项卡  3. 填写字段并根据需要切换开关。 **发件人:** - 发件人表示用于发送电子邮件的发件人 SMTP 标头的地址。 **发件人展示名称:** - 从展示名称允许配置用户友好的电子邮件地址别名(可选)。如果未设置,简单的发件人电子邮件地址将显示在电子邮件客户端中。 **回复地址** - 回复地址表示用于发送邮件的回复SMTP 标头的地址(可选)。如果未设置,将使用普通的发件人电子邮件地址。 **回复地址展示名称:** - 回复地址展示名称允许配置用户友好的电子邮件地址别名(可选)。如果未设置,将显示简单的回复电子邮件地址。 **信封发件人:** - 信封发件人表示用于发送邮件的返回路径SMTP 标头的退回地址(可选) **主机:** - 表示用于发送电子邮件的 SMTP 服务器主机名。 **端口:** - 端口表示 SMTP 服务器端口。 **加密:** - 勾选这些复选框之一以支持发送电子邮件以恢复用户名和密码,特别是当 SMTP 服务器位于外部网络时。您很可能需要将端口更改为 465,这是 SSL/TLS 的默认端口。 **身份验证:** - 如果您的 SMTP 服务器需要身份验证,请将此开关设置为ON。出现提示时,提供用户名和密码。密码字段的值可以引用外部保管库中的值。 ### 配置主题 对于给定领域,您可以使用主题更改系统中任何 UI 的外观。 步骤: 1. 单击菜单中的领域设置。 2. 单击主题选项卡。 主题选项卡  3. 为每个 UI 类别选择所需的主题,然后单击“保存”。 - **登录主题** 用户名密码输入、OTP 输入、新用户注册以及其他与登录相关的类似屏幕。 - **账户主题** 每个用户都有一个用户帐户管理 UI。 - **管理控制台主题** 管理控制台的皮肤。 ### 实现国际化 系统中的每个 UI 屏幕都已国际化。默认语言为英语,但您可以选择要支持的区域设置以及默认区域设置。 步骤: 1. 单击菜单中的**领域设置**。 2. 单击**本地化**选项卡。 3. 启用**国际化**。 4. 选择您将支持的语言。 本地选项卡  用户下次登录时,可以在登录页面上选择用于登录屏幕、帐户控制台和管理控制台的语言。 ### 控制登录选项 #### 启用忘记密码 如果启用忘记密码,用户可以在忘记密码或丢失 OTP 生成器时重置其登录凭据。 步骤: 1. 单击菜单中的领域设置。 2. 单击“登录”选项卡。 登录选项卡  3. 将“忘记密码”切换为“开”。 您的登录页面中会显示一个忘记密码链接。  4. 在“电子邮件”选项卡中指定Host和表单,以便系统能够发送重置电子邮件。 5. 单击此链接,用户可以输入用户名或电子邮件地址,并收到一封电子邮件,其中包含用于重置其凭据的链接。  当用户单击电子邮件链接时,MaxId会要求他们更新密码,如果他们设置了 OTP 生成器,MaxId会要求他们重新配置 OTP 生成器。根据您组织的安全要求,您可能不希望用户通过电子邮件重置其 OTP 生成器。 要更改此行为,请执行以下步骤: 1. 单击菜单中的身份验证。 2. 单击“流”选项卡。 3. 选择重置凭据流程。 重置凭证流程  如果您不想重置 OTP,请将重新设置OTP,设置为“已禁用”。 4. 单击菜单中的身份验证。 5. 单击所需操作选项卡。 6. 确保已启用更新密码。 所需采取的行动  #### 启用“记住我” 录用户关闭浏览器会破坏其会话,并且该用户必须重新登录。如果用户在登录时单击“记住我”复选框,您可以将MaxId设置为保持用户的登录会话打开。此操作将登录 cookie 从仅会话 cookie 转变为持久 cookie。 步骤: 1. 单击菜单中的领域设置。 2. 单击“登录”选项卡。 3. 将“记住我”开关切换至“开”。 登录选项卡  保存此设置后,领域的登录页面上会显示一个复选框。 记住账号  ### 配置领域密钥 MaxId使用的身份验证协议需要加密签名,有时还需要加密。MaxId使用非对称密钥对(私钥和公钥)来实现此目的。 MaxId一次有一个主动密钥对,但也可以有多个被动密钥。主动密钥对用于创建新的签名,而被动密钥对可用于验证以前的签名。这使得定期轮换密钥成为可能,而不会造成任何停机或对用户造成干扰。 创建领域时,会自动生成密钥对和自签名证书。 步骤: 1. 单击菜单中的**领域设置**。 2. 单击“**秘钥**”。 3. 从过滤器下拉列表中选择**被动密钥以查看被动密钥**。 4. 从过滤器下拉列表中选择“**禁用的键**”以查看禁用的键。 密钥对可以具有状态Active,但仍然不会被选为领域当前活动的密钥对。用于签名的所选择的活动对是基于按优先级排序的能够提供活动密钥对的第一密钥提供者来选择的。 ### 轮换钥匙 我们建议您定期轮换密钥。为此,首先创建优先级高于现有活动密钥的新密钥。或者创建具有相同优先级的新密钥并使以前的密钥处于被动状态。 一旦新密钥可用,所有新令牌和 cookie 都将使用新密钥进行签名。当用户对应用程序进行身份验证时,SSO cookie 将使用新签名进行更新。刷新 OpenID Connect 令牌时,新令牌将使用新密钥进行签名。这意味着随着时间的推移,所有 cookie 和令牌都将使用新密钥,一段时间后旧密钥可以被删除。 删除旧密钥的频率是安全性与确保更新所有 cookie 和令牌之间的权衡。考虑每三到六个月创建一次新密钥,并在创建新密钥一到两个月后删除旧密钥。如果用户在添加新密钥和删除旧密钥之间的时间段内处于非活动状态,则该用户将必须重新进行身份验证。 轮换密钥也适用于离线令牌。为了确保它们得到更新,应用程序需要在删除旧密钥之前刷新令牌。 ### 令牌配置 在此可以设置token的相关过期时间  ## 九、身份认证 主要添加短信的验证登录 选择登录主题-phone。修改登录流程。 - 身份验证模块下: - 将流复制Browser到Browser with phone流程   - 替换Username Password Form为Phone Username Password Form  - 单击旁边的设置图标Phone Username Password Form进行配置。  - 在领域设置>主题 将登录主题设置为phone  - 设置绑定Browser with phone为在页面点击操作,点击绑定流程,选择类型为浏览器流程   ## 十、身份提供者 在此进行第三方登录的设置 ### 钉钉: 步骤 1. 登录钉钉开放平台 2. 在应用开发模块中,在企业内部应用中选择钉钉应用,点击创建应用填入相关信息(默认选择H5微应用和企业自主开发)。  3. 在应用信息中的应用凭证中,保存AppKey和AppSecret,放便在应用的管理页面中填入。   4. 在开放管理中,填入如下图的信息,在服务器出口IP中填入,同企业微信的可信ip。  5. 在权限管理中开通相关权限  6. 在登录与分享中,填入如下类似回调域名“http://maxid2.demo.jzkg.cn/realms/master/broker/dingtalk/endpoint”  ### 微信: 步骤: 1. 登录账号,经过登记主体认证过的。  2. 在管理中心模块中,选择网站应用,点击创建网站应用。填写对应的信息。  3. 在审核通过后显示如下页面:  4. 记录他的AppID和AppSecret,最终在管理段页面配置。即可 (需要开启,开放平台登录,密码是AppSecret)  ### 企业微信 步骤: 1. 进入对应的企业微信管理页面中  2. 在应用管理模块中,找到自建,点击创建应用,添加logo和名称等信息。  3. 找到开发开发者接口模块,在网页授权及JS-SDK中配置中配置可信域名和完成域名归属认证(出现已验证)   4. 在企业微信授权登录模块中:在web网页中,添加授权回调域,填写对应的域名  5. 在企业可信IP中模块中:填写对应的IP地址(如果没有这个模块:先在安全与管理模块中,选择管理工具。在通讯录同步中,进行企业可信IP的配置), “https://www.ip138.com/”。    6.在应用管理中点击创建的应用,保存对应的AgentId和Secret. 和我的企业中的企业ID。对用填入管理页面中输入框。   
简彬
2023年12月2日 16:19
分享文档
收藏文档
上一篇
下一篇
微信扫一扫
复制链接
手机扫一扫进行分享
复制链接
Markdown文件
PDF文档
PDF文档(打印)
分享
链接
类型
密码
更新密码