Amazon 身份验证模块
Amazon 身份验证模块是一个预配置的 OAuth2.0 身份验证模块,允许用户使用其 Amazon 凭证登录 Hub 及任何已连接的服务。
启用 Amazon 身份验证
为了让具有 Amazon 现有账户的用户可以登录 Hub,请启用身份验证模块。
该操作分为三个步骤:
在 Hub 中生成重定向 URI。 创建身份验证模块时,Hub 会生成一个用于授权服务的重定向 URI。 该 URI 用于标识每个登录请求的来源。
在 Amazon 中生成 Client ID 和 Secret。 每个从 Hub 发出的登录请求都会包含唯一标识符。 存储在身份验证模块中的 ID 和 Secret 告诉 Amazon 授权服务每个登录请求是被授权的。
在 Hub 中启用身份验证模块。 生成 Hub 用于与 Amazon 授权服务进行验证的信息后,将这些值复制到 Hub 中并启用该模块。
在 Hub 中生成重定向 URI
首先,创建 Amazon 身份验证模块。 执行此操作时,Hub 会生成一个用于授权服务的重定向 URI。
在 Access Management (权限管理) 区域的 Administration (行政) 菜单中,选择 。
点击 New module (新模块) 按钮。
Select an identity provider (选择身份提供商(Identity Provider)) 对话框打开。
在 Select an identity provider (选择身份提供商(Identity Provider)) 对话框中,选择 Amazon。
Auth Modules (身份验证模块) 页面显示新 Amazon 身份验证模块的设置。
Hub 会为你生成一个用于授权服务的重定向 URI。
如果你的浏览器支持此功能,可以使用 Copy (复制) 按钮将重定向 URI 复制到剪贴板。
更改 Hub 实例的基础 URL 时,请确保在授权服务中更新重定向 URI。 例如,修改代理设置后。
生成 Client ID 和 Secret
下一步是在 Amazon 中注册 Hub 的授权重定向 URI。
访问 使用 Amazon 登录。
在 Applications (应用程序) 菜单中,点击 Register new application (注册新应用) 按钮。
填写 Application Information (应用信息) 表单,然后点击 Save (保存) 按钮。
展开 Web Settings (Web 设置) 部分,然后点击 Edit (编辑) 按钮。
将 Hub 生成的重定向 URI 粘贴到 Allowed Return URLs (允许的返回 URL) 输入框,并点击 Save (保存) 按钮。
使用存储为 Client ID (客户端 ID) 和 Client Secret (客户端密钥) 的值在 Hub 中启用身份验证模块。
在 Hub 中启用身份验证模块
要完成设置,请将授权服务中的 client ID 和 Secret 存储到 Amazon 身份验证模块中。
从 Amazon 复制 Client ID (客户端 ID) ,并将其粘贴到 Hub 的 Client ID (客户端 ID) 输入框。
点击 Show Secret (显示口令) 按钮,然后从 Amazon 复制该值,粘贴到 Hub 的 Client secret (客户端密钥) 输入框。
配置身份验证模块的可选设置。 如需详细信息,请参阅 其他设置。
点击 Save (保存) 按钮以应用设置。
点击 Enable module (启用模块) 按钮。
Amazon 身份验证模块已启用。
保存在 Button image (按钮图像) 设置中的图标会添加到登录对话框窗口。 用户可点击该图标,通过其 Amazon 凭证登录 Hub。
测试连接
要验证 Amazon 身份验证模块是否设置正确,请测试连接。
点击页眉中的 Test login (测试登录) 按钮。 这将在新浏览器标签页中验证登录流程。
如果身份验证模块设置正确,则会显示成功消息。
如果连接有问题,身份验证服务会显示错误消息。 请根据错误页面提供的信息进行问题排查。
设置
设置页面的第一部分显示身份验证模块的一般设置。 在此,您还可以找到用于在授权服务中注册 Hub 的重定向 URI,以及存储在授权服务中生成的 Client ID (客户端 ID) 和 Client Secret (客户端密钥) 的输入框。
设置 | 描述 |
|---|---|
类型 | 显示当前为 Hub 启用第三方身份验证的授权服务类型。 |
名称 | 存储身份验证模块的名称。 使用此设置可将该模块与 Auth Modules (验证模块) 列表中的其他身份验证模块区分开。 |
按钮图像 | 显示用户点击按钮以其所连接授权服务账号登录 Hub 时使用的图像。 你可以上传 JPG、GIF 或 PNG 文件。 图像会自动调整为 48 x 48 像素。 |
重定向 URI | 显示用于在授权服务中注册 Hub 连接的授权重定向 URI。 |
客户端 ID | 存储授权服务用以验证登录请求的标识符。 在你为 Web 应用程序配置授权设置并输入授权重定向 URI 时,会在授权服务中生成此值。 |
客户端密钥 | 存储用于验证 client ID 的密钥或密码。 在授权服务中生成该值时,会与 client ID 一起生成。 |
授权延期 | 保存扩展授权时用于标识身份验证模块的值。 如果提供了该值,Hub 将处理请求,将授权服务颁发的访问令牌兑换为可访问 Hub 的令牌。 要成功兑换访问令牌,身份验证模块必须在第三方身份验证服务中获得授权并在 Hub 中启用。 要了解如何使用 Hub REST API 兑换访问令牌,请参阅 扩展授权。 |
授权服务端点
本节页面的设置存储 Amazon 使用的 OAuth 2.0 端点。
对于预配置的 OAuth 2.0 模块,所选授权服务使用的值会自动设置。
设置 | 描述 |
|---|---|
验证 | 存储 Hub 用于通过用户代理重定向从资源所有者获取授权的端点。 |
令牌 | 存储 Hub 用于将授权码兑换为访问令牌的端点。 |
用户数据 | 存储用于查找已认证用户资料数据的端点。 |
电子邮箱 | 存储用于查找已认证用户电子邮件地址的端点。请仅在电子邮件地址未存储在用户资料时使用。 仅当电子邮件地址未直接存储在用户资料中时使用。 |
头像 | 存储用于查找已认证用户头像二进制文件的端点。仅当头像未直接存储在用户资料中时使用。 仅当头像未直接存储在用户资料中时使用。 |
字段映射
当 Amazon 服务返回用户资料响应对象时,指定字段路径中的值将被复制到 Hub 的用户资料中。 请使用以下设置为已认证用户定义用于查找资料数据的端点,并将授权服务中存储的字段映射到 Hub 中的用户账户。
对于 Amazon 模块,值会自动设置。
要指定嵌套对象中字段的路径,请输入由斜杠字符(
/)分隔的一系列段。要引用可能存储在多个位置的值,请使用"Elvis运算符"(
?:)作为多个路径的分隔符。 使用此选项后,Hub 会使用在指定字段中遇到的第一个非空值。
字段 | 描述 |
|---|---|
用户 ID | 映射到存储要复制到 Hub 中 User ID (用户 ID) 属性的值的字段。 |
用户名 | 映射到存储要复制到 Hub 资料中的 Username (用户名) 字段的字段。 |
全名 | 映射到存储要复制到 Hub 资料中的 Full name (全名) 字段的字段。 |
电子邮件 | 映射到存储要复制到 Hub 资料中的 Email (电子邮件) 字段的字段。 |
电子邮件验证状态 | 映射到存储要复制到 Hub 中已验证电子邮件属性值的字段。 |
头像 | 映射到存储用于在 Hub 资料中用作 Avatar (头像) 的图像的字段。 |
图像 URL 模式 | 为以 ID 方式引用的头像生成图片 URL。 请使用 <picture-id> 占位符来引用存储头像的字段。 |
分组 | 映射到连接的授权服务中存储组成员分配的属性。 指定该值后,可以将授权服务中组成员关系映射并同步到 Hub 中的对应组。 有关详细信息,请参阅 群组映射。 |
其他设置
以下选项位于页面底部。 这些设置允许你定义请求范围,并选择与服务的身份验证方式。
本部分的其他选项允许你管理 Hub 账号创建和组成员关系,并减少空闲连接消耗的处理资源。
选项 | 描述 |
|---|---|
作用域 | 设置访问请求的作用域。 请输入用空格分隔的作用域列表。 |
身份验证 | 确定如何将凭证传递给授权服务。 |
用户创建 | 启用未注册用户使用连接授权服务账号登录时在 Hub 创建账号。Hub 通过邮箱地址判断用户是否已有账号。 Hub 通过邮箱地址判断用户是否已有账号。 |
自动验证电子邮件 | 当身份验证服务未返回此属性时,确定 Hub 如何设置邮箱地址的验证状态。 |
自动加入组 | 用户使用连接的授权服务账号登录时,会将其添加到某个组。 你可以选择一个或多个组。 新用户自动加入组后,将继承该组分配的全部权限。 建议你至少将用户添加到一个组。 否则,新用户仅获得当前分配给 All Users (所有用户) 组的权限。 |
连接超时 | 设置等待建立与授权服务连接的时间。 默认设置为 5000 毫秒(5 秒)。 |
读取超时 | 设置等待从授权服务读取和检索用户资料数据的时间。 默认设置为 5000 毫秒(5 秒)。 |
审核 | 链接到 Hub 中的 Audit Events (审核事件) 页面。 在这里,你可以查看应用于该身份验证模块的更改列表。 |
群组映射
操作
页眉中可用以下操作:
操作 | 描述 |
|---|---|
设为默认 | 将该身份验证模块指定为你安装环境的默认模块。任意时刻只允许一个身份验证模块设为默认。如果有其他模块当前被设为默认,则会清除该状态。 任意时刻只允许一个身份验证模块设为默认。 如果有其他模块当前被设为默认,则会清除该状态。 该选项仅当当前身份验证模块未设为默认时显示。 |
清除默认 | 将该身份验证模块从默认状态移除。 如所有可用身份验证模块均未被设为默认,未认证用户始终会被引导至 Hub 登录页面。 仅当当前身份验证模块已被设为默认时显示该选项。 |
禁用模块 | 禁用身份验证模块。 仅当身份验证模块处于启用状态时显示该选项。 |
启用模块 | 启用身份验证模块。 仅当身份验证模块当前已禁用时显示该选项。 |
测试登录 | 允许你测试与身份验证服务的连接。 |
删除模块 | 从 Hub 移除身份验证模块。 仅当你已配置了额外身份验证模块,以便用户登录你的 Hub 安装时使用。 |