在IDaaS認證鑒權中,您可以使用統一的身份認證憑證(如用戶名和密碼、多因素認證等)來訪問各應用和服務,而無需單獨針對每個應用進行認證。
前提條件
開通阿里云IDaaS。
創建一個OAuth2應用,具體操作,請參見OAuth2.0模板使用指南。
創建鑒權
登錄MSE網關管理控制臺。
在左側導航欄,選擇云原生網關 > 網關列表,并在頂部菜單欄選擇地域。
在網關列表頁面,單擊目標網關名稱。
在左側導航欄,選擇安全管理 > 全局認證鑒權。
在頁面左上角,單擊創建鑒權配置網關鑒權相關參數,然后單擊確定。
云原生網關IDaaS認證鑒權參數說明如下。
參數
描述
鑒權名稱
自定義云原生網關鑒權的名稱。
鑒權類型
選擇IDaaS認證方式。
用戶登錄頁地址
輸入IDaaS實例用戶登錄頁地址。
重定向URL
輸入授權成功后的重定向地址,需要與IDaaS中配置的重定向地址保持一致。
Client-ID
輸入IDaaS OAuth2應用注冊的應用標識ID。
Client-Secret
輸入IDaaS OAuth2應用注冊的應用Secret。
Cookie-Domain
輸入Cookie的域名,認證通過后會將Cookie發送到指定的域名,保持登錄狀態。例如:設置
Cookie-domain=a.example.com,則Cookie會發送到域名a.example.com;設置Cookie-domain=.example.com,則Cookie會發送到example.com的所有子域名。授權
授權模式支持白名單模式和黑名單模式。
白名單模式:白名單中的hosts+paths不需要校驗即可訪問,其余都需要校驗。
黑名單模式:黑名單中的hosts+paths需要校驗,其余可直接訪問。
單擊規則條件,設置請求域名和路徑。
域名:請求訪問的域名,即hosts。
路徑(Path):請求訪問的接口Path,即paths。
查看鑒權詳情
登錄MSE網關管理控制臺。
在左側導航欄,選擇云原生網關 > 網關列表,并在頂部菜單欄選擇地域。
在網關列表頁面,單擊目標網關名稱。
在左側導航欄,選擇安全管理 > 全局認證鑒權。
在全局認證鑒權頁面,單擊鑒權規則名稱或操作列的詳情,可查看當前認證配置和授權信息的管理。
您可在授權信息區域單擊創建授權信息,在對話框中輸入請求域名和請求Path,并選擇匹配方式,單擊確定新增授權規則。
結果驗證
返回全局認證鑒權頁面查看鑒權信息,如果已包含新建的網關鑒權信息,則說明網關認證鑒權新建成功。
相關操作
您還可以執行以下其他操作,管理網關的認證鑒權:
開啟鑒權:在全局認證鑒權頁面,單擊目標鑒權規則操作列的開啟,使認證鑒權信息生效。
關閉鑒權:在全局認證鑒權頁面,單擊目標鑒權規則操作列的關閉,關閉網關認證鑒權信息。
編輯鑒權:在全局認證鑒權頁面,單擊目標鑒權規則操作列的編輯,可編輯網關認證鑒權信息。
刪除鑒權:在全局認證鑒權頁面,單擊目標鑒權規則操作列的刪除,可刪除網關認證鑒權信息。
只有在認證鑒權信息關閉的狀態下才可執行刪除操作。
相關文檔
云身份服務 IDaaS是阿里云為企業用戶提供的身份、權限管理體系。更多信息,請參見什么是IDaaS EIAM?。
如果您想了解其他認證鑒權機制,請參見網關認證鑒權概述。