Microsoft 账户认证模块
Microsoft 账户认证模块是一个预配置的 OAuth2.0 认证模块,允许用户使用其个人 Microsoft 账户登录 Hub 及所有已连接服务。个人 Microsoft 账户包括 Skype、Xbox、Live 和 Hotmail 账户。 个人 Microsoft 账户包括 Skype、Xbox、Live 和 Hotmail 账户。
启用 Microsoft 账户认证
要允许已有 Microsoft 账户的用户登录 Hub,请启用认证模块。
此操作流程分为三个步骤:
在 Hub 中生成重定向 URI。 创建认证模块时,Hub 会生成用于授权服务的重定向 URI。 此 URI 标识每个登录请求的来源。
在 Microsoft 身份平台生成客户端 ID 和密钥。 Hub 发出的每个登录请求都包含唯一标识符。 您存储在认证模块中的 ID 和密钥会告知 Microsoft 授权服务每个登录请求都是被授权的。
在 Hub 中启用认证模块。 在生成了 Hub 用于与 Microsoft 授权服务进行认证所需的信息后,将这些值复制到 Hub 并启用该模块。
在 Hub 中生成重定向 URI
首先,创建 Microsoft 账户认证模块。 执行此操作时,Hub 会生成用于授权服务的重定向 URI。
在 Access Management (权限管理) 部分的 Administration (行政) 菜单中,选择 。
点击 New module (新模块) 按钮。
Select an identity provider (选择身份提供商或凭据源。) 对话框将打开。
在 Select an identity provider (选择身份提供商或凭据源。) 对话框中,选择 Microsoft Account (Microsoft 账户)。
Auth Modules (身份验证模块) 页面显示新建 Microsoft 账户认证模块的设置。
Hub 会为您生成一个用于授权服务的重定向 URI。
如果您的浏览器支持此功能,使用 Copy (复制) 按钮可将重定向 URI 复制到剪贴板。
更改 Hub 实例基础 URL 时,请务必在授权服务中更新重定向 URI。 例如,在更改代理设置后。
生成客户端 ID 和密钥
下一步是在 Microsoft Azure 门户中注册 Hub 的授权重定向 URI。
要了解如何进行此设置,请按照 Microsoft Azure 产品文档 中的说明操作。
下表列出了该认证模块所需的关键配置选项:
设置 | 描述 |
|---|---|
支持的账户类型 | 此配置决定了谁可以使用该应用程序,有时也被称为其 登录受众。 对于本设置,选择 Personal Microsoft accounts (个人 Microsoft 账户) 选项。 |
重定向 URI | 将 Hub 中的重定向 URI 粘贴到输入字段。 类型选择 Web 选项。 |
应用程序(客户端)ID | 在 Azure 门户中注册应用程序时,此值会自动生成。 将此字段的值用作 Hub 中的 Client ID (客户端 ID) 设置。 |
客户端密钥 | 值 | 此值在应用注册体验的 Certificates & secrets (证书和密钥) 部分生成。 为应用添加客户端密钥后,请将该密钥值作为 Hub 中的 Client secret (客户端密钥) 使用。 |
在 Hub 中启用认证模块
要完成设置,请将授权服务中的客户端 ID 和密钥存储到 Microsoft 账户认证模块中。
将 Microsoft Azure 中的 Application (client) ID (应用程序(客户端)ID) 复制到 Hub 的 Client ID (客户端 ID) 输入字段。
将 Microsoft Azure 的 Client secret (客户端密钥) 的值复制到 Hub 的 Client secret (客户端密钥) 输入字段。
配置认证模块的可选设置。 如需详细信息,请参阅 其他设置。
点击 Save (保存) 按钮以应用设置。
点击 Enable module (启用模块) 按钮。
已启用 Microsoft 账户认证模块。
存储于 Button image (按钮图像) 设置中的图标会添加到登录对话框窗口中。 用户可点击该图标,使用其个人 Microsoft 账户登录 Hub。
测试连接
要确认 Microsoft 账户认证模块设置正确,请测试连接。
点击页眉中的 Test login (测试登录) 按钮。 将在新浏览器标签页中验证登录流程。
如果认证模块设置正确,将显示成功消息。
如果连接存在问题,认证服务会显示错误消息。 请根据错误页面提供的信息进行问题排查。
设置
设置页面的第一个部分显示认证模块的常规设置。 此外,您可以在此处找到用于在授权服务中注册 Hub 的重定向 URI,以及存储在授权服务生成的 Client ID (客户端 ID) 和 Client Secret (客户端密钥) 的输入字段。
设置 | 描述 |
|---|---|
类型 | 显示当前已启用用于第三方认证的授权服务类型。 |
名称 | 存储认证模块的名称。 使用此设置可将该模块与 Auth Modules (验证模块) 列表中的其他认证模块区分开。 |
按钮图像 | 显示用于用户通过已连接的授权服务账户登录 Hub 时点击的按钮所使用的图片。 您可以上传 JPG、GIF 或 PNG 文件。 图像会自动调整为 48 x 48 像素。 |
重定向 URI | 显示用于在授权服务中注册与 Hub 连接的授权重定向 URI。 |
客户端 ID | 存储授权服务用于验证登录请求的标识符。 在配置 Web 应用的授权设置并输入授权重定向 URI 时,在授权服务中生成此值。 |
客户端密钥 | 存储用于验证客户端 ID 的密钥或密码。 此值与客户端 ID 一起在授权服务中生成。 |
授权延期 | 保存用于在扩展授权时标识认证模块的值。 若已提供值,Hub 会处理将授权服务颁发的访问令牌交换为授予 Hub 访问权限的令牌的请求。 若要成功交换访问令牌,认证模块必须在第三方认证服务中获得授权且在 Hub 中启用。 如需了解如何使用 Hub REST API 交换访问令牌,请参阅 扩展授权。 |
授权服务端点
本节页面中的设置用于存储 Microsoft 身份平台使用的 OAuth 2.0 端点。
对于预配置的 OAuth 2.0 模块,所选授权服务使用的值会自动设置。
设置 | 描述 |
|---|---|
验证 | 存储 Hub 用于通过用户代理重定向从资源所有者获得授权的端点。 |
令牌 | 存储 Hub 用于将授权授权码交换为访问令牌的端点。 |
用户数据 | 存储用于查找已认证用户的个人资料数据的端点。 |
电子邮箱 | 存储用于查找已认证用户电子邮件地址的端点。 仅在邮箱地址不存储在用户配置文件中时使用。 |
头像 | 存储用于查找已认证用户头像的二进制文件的端点。 仅在头像未直接存储于用户配置文件中时使用。 |
字段映射
Microsoft 身份平台返回用户配置文件响应对象时,指定字段路径中的值会被复制到 Hub 的用户配置文件。 使用以下设置定义用于查找已认证用户配置数据的端点,并将授权服务中存储的字段映射到 Hub 用户账户。
对于 Microsoft 账户模块,这些值是自动设置的。
如需指定嵌套对象内字段的路径,请输入以斜杠字符(
/)分隔的段序列。要引用可能存储在多个位置的值,请使用"Elvis 运算符"(
?:)作为多个路径的分隔符。 启用此选项后,Hub 会使用指定字段中发现的第一个非空值。
字段 | 描述 |
|---|---|
用户 ID | 映射到存储要复制到 Hub 中 User ID (用户 ID) 属性值的字段。 |
用户名 | 映射到存储要复制到 Hub 配置文件中 Username (用户名) 字段的字段。 此选项在 Hub 版本 2023.1.15453 及更高版本中可用。 |
全名 | 映射到存储要复制到 Hub 配置文件中 Full name (全名) 字段的字段。 |
电子邮箱 | 映射到存储要复制到 Hub 配置文件中 Email (电子邮箱) 字段的字段。 |
电子邮件验证状态 | 映射到存储要复制到 Hub 中已验证邮箱属性值的字段。 |
头像 | 映射到存储要用作 Hub 配置文件中 Avatar (头像) 图像的字段。 |
图像 URL 模式 | 为通过 ID 引用的头像生成图像 URL。 使用 <picture-id> 占位符引用存储头像的字段。 |
分组 | 映射到已连接授权服务中存储组成员分配的属性。 指定此值后,您可以在授权服务中将组成员资格与 Hub 中的相应组进行映射和同步。 有关详细信息,请参阅 群组映射。 |
其他设置
页面底部包含以下选项。 这些设置允许您定义请求范围,并选择如何与服务进行认证。
本节的其他选项可帮助您管理 Hub 账户创建、组成员资格,以及减少因空闲连接而消耗的处理资源损失。
选项 | 描述 |
|---|---|
作用域 | 设置访问请求的范围。 输入以空格分隔的范围列表。 |
身份验证 | 决定如何将凭据传递给授权服务。 |
用户创建 | 启用为使用已连接授权服务账户登录的未注册用户创建 Hub 账户。Hub 将通过邮箱地址判断用户是否已有账号。 Hub 通过邮箱地址判断用户是否已有账号。 |
自动验证电子邮件 | 当认证服务未返回邮箱地址验证状态时,此设置决定 Hub 如何设置邮箱地址的验证状态。 |
自动加入组 | 当用户使用已连接授权服务中的账户登录时,将其加入某个组。 您可以选择一个或多个组。 自动加入组的新用户将继承该组当前分配的全部权限。 建议您至少将用户添加至一个组。 否则,新用户仅拥有当前分配给 All Users (所有用户) 组的权限。 |
连接超时 | 设置等待与授权服务建立连接的时间。 默认设置为 5000 毫秒(5 秒)。 |
读取超时 | 设置从授权服务读取和获取用户资料数据的等待时间。 默认设置为 5000 毫秒(5 秒)。 |
审核 | 跳转至 Hub 中的 Audit Events (审核事件) 页面。 您可以在该页面查看已应用于本认证模块的更改列表。 |
群组映射
操作
页眉中可用以下操作:
操作 | 描述 |
|---|---|
设为默认 | 将认证模块指定为您的安装环境中的默认模块。任一时刻只能有一个认证模块设为默认。如果其他模块设置为默认,则该状态将被清除。 任一时刻只能有一个认证模块被设为默认。 如果当前有其他模块设为默认,则其状态将被清除。 仅当当前认证模块未被设为默认时才显示此选项。 |
清除默认 | 将认证模块从您的安装环境中的默认移除。 如果未将任何可用认证模块设为默认,未认证用户将始终被引导至 Hub 登录页面。 仅当当前认证模块被设为默认时才显示此选项。 |
禁用模块 | 禁用认证模块。 仅当认证模块当前已启用时才显示此选项。 |
启用模块 | 启用认证模块。 仅当认证模块当前已禁用时才显示此选项。 |
测试登录 | 可以测试与认证服务的连接。 |
删除模块 | 从 Hub 中移除身份验证模块。仅在您已配置其他身份验证模块以允许用户登录到您的 Hub 安装时使用。 仅在您已配置其他身份验证模块以允许用户登录到您的 Hub 安装时使用。 |