400-658-2855
< 返回 首页 > 关于宁盾 > 新闻中心 > 公司动态 > 第三方IDaaS(宁盾AM)与AD集成并对接腾讯云-实战篇

第三方IDaaS(宁盾AM)与AD集成并对接腾讯云-实战篇

发布时间:2021-05-31 17:45:48 来源: 点击量:


前提条件:
 
1、安装好宁盾AM软件和UC软件
具体软件软件安装包和宁盾AM软件的License文件需要找宁盾客服申请,可以申请试用。
具体申请流程详见宁盾官网:http://www.nington.com/
 
2、网络结构如下:
网络结构-----internet----->FW(NAT)------[AM\UC]主机   端口都已经映射好了的
图形用户界面, 应用程序

描述已自动生成
3、宁盾AM与UC软件版本一致,且需要在6.8.6+版本以上,否则会有问题。
 
为什么选择宁盾?
 
Tip:关于为什么选择宁盾,这是一家在安全认证和零信任安全方案方面有丰富行业经验的公司,最近又获得了腾讯的加持,最主要的还是配置能力和知识要求不高,还有比较好的售后支持!
 
特别是零信任网络和SSO登录这两块是我特别看好的,如果用免费方案你可能在SSO这一块容易搞定,但是零信任网络与营销型网络设计方案这一块无法很好的集成,这对于一家做联锁零售经营或者机场等大型商业运营体而言,统一的营销网络几乎是必备的需求。
 
宁盾SSO产品架构
 
闲篇少扯,我们来看宁盾SSO系统的总体架构设计
 
宁盾产品是以站点来做为配置单位的,站点是多租户设计的一种模式,所有的配置都是基于某个站点的,受到License的限制。
图示

描述已自动生成
 
安装过程
 
下载对应的AM与UC的exe文件,点安装,下一步,下一步到结束,与安装普通软件无异,非常简单,记得选一个合适的目录安装



软件配置过程



一、申请license
图形用户界面, 应用程序

描述已自动生成
添加站点提示没有授权!
 
提交申请SN的信息名称:
图形用户界面, 文本, 应用程序

描述已自动生成
获得宁盾授权码:
文本, Word

描述已自动生成
点击增加授权,填入授权码保存后,如图所示!
图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成
由于AM和UC安装在同一台机器上所以可以如图所示,如果不在同一台机器上请填写对应的内网地址或hostname
图形用户界面, 文本, 应用程序

描述已自动生成
将共享密码记录下来,需要在UC的软件配置文件中使用:
616a07c7-46fc-4c8f-aab5-65659afabf58

 
找到UC的安装目录,本实验为:
D:\Program Files\Ningdun\DKEY UserCenter\local
 
图形用户界面, 文本, 应用程序

描述已自动生成
 
用编辑器打开"defaultApp.conf"文件
文本

描述已自动生成
修改
app.am.tenant.id app.am.tenant.name

app.am.tenant.sharedSecret
将其修改为:
app.am.tenant.id=c7ef1be1-3e4c-4d35-8ec9-8aeb2174aec4 
#app.am.tenant.name="VloveV" 
#目前新版本只认app.am.tenant.id,并且配置文件名为:
#D:\Program Files\Ningdun\DKEY UserCenter\local\defaultApp.conf

app.am.tenant.sharedSecret=616a07c7-46fc-4c8f-aab5-65659afabf58
结果如图:

添加如图所示"唯爱薇o朝圣之路"站点
图形用户界面, 应用程序

描述已自动生成

测试UC和AM连通情况:
图形用户界面, 应用程序

描述已自动生成
图形用户界面, 文本, 应用程序

描述已自动生成
在这里设置UC的端口7080[http]和7443[https]都可以
 
测试AM与UC的通信情况
图形用户界面, 应用程序

描述已自动生成
将登录过期时间改成3天
图形用户界面, 应用程序

描述已自动生成
再刷新UC登录页面
图形用户界面

描述已自动生成
配置已经生效

 
添加本地数据源

添加本地用户组local
添加本地用户vlovev_cn
图形用户界面, 应用程序, Teams

描述已自动生成
图形用户界面, 应用程序, 网站

描述已自动生成
到此宁盾AM和UC软件已经安装调试完毕!
 
Tip:
特别要注意的是,AM和UC软件的小版本,必须要严格对应,比如:AM的版本为AM_x.x.9,那么UC的版本也应该是UC_x.x.9,否则可能会带来一些版本兼容问题。

 
添加外部数据源

添加外部数据源信息,如果想减少同步时间间隔可以多添加几个同步时间点。
图形用户界面

描述已自动生成
电脑屏幕截图

描述已自动生成
图形用户界面, 应用程序

描述已自动生成
可以手动同步外部数据源
图形用户界面, 应用程序

描述已自动生成
图形用户界面, 文本

描述已自动生成
Tip:如果想要在宁盾AM添加账号并同步至外部数据源,前提必须开启LDAPS,并设置允许写入
图形用户界面, 应用程序, Teams

描述已自动生成

在外部数据源中添加用户
图形用户界面, 应用程序

描述已自动生成
同步出错的情况
图形用户界面, 应用程序

描述已自动生成
需要调整工号所映射的外部数据源的属性值 ,在AD中为employeeNumber属性
图形用户界面, 应用程序

描述已自动生成
也可以通过Excel模板的方式批量导入用户
图形用户界面, 应用程序

描述已自动生成
图形用户界面, 文本, 应用程序, Word

描述已自动生成
在外部数据源中确定用户是否创建成功
图形用户界面, 应用程序

描述已自动生成
由于默认只开启了本地用户登录UC,如果外部认证源用户登录UC需要在双因素认证中先开启外部认证源
图形用户界面, 文本, 应用程序

描述已自动生成
开启后如图所示:
图形用户界面, 文本, 应用程序

描述已自动生成
外部用户登录UC后如果所示
图形用户界面, 应用程序, 网站

描述已自动生成
由于没有应用创建所以里面的内容为空

 
宁盾SSO配置过程
我们先来创建一个腾讯云的应用
前提条件:
1、从腾讯云账号中获取SSO的SAML 服务提供商元数据 URL
参考链接地址:
https://cloud.tencent.com/document/product/598/30286
https://cloud.tencent.com/document/product/598/42702
https://cloud.tencent.com/document/product/598/37658
首先,在应用中心添加应用Tencent_EDU_VLOVEV_CN
图形用户界面, 应用程序

描述已自动生成
图形用户界面, 应用程序

描述已自动生成
先不用管
SSO URL (Assertion Consumer Service)
Audience (SP Entity ID) 
Access URL
等配置
先生成TencentMetaData.xml文件内容
文本

描述已自动生成
 
将其保存到TencentMetaData.xml文件中
 
其次,创建好腾讯云账号,并创建新的身份提供商
图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成
图形用户界面, 文本, 应用程序, Teams

描述已自动生成
图形用户界面, 文本, 应用程序, Teams

描述已自动生成
图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成
点ningdun.vlovev.cn到详情页可以看到登录链接:https://cloud.tencent.com/login/forwardIdp/100019261647/ningdun.vlovev.cn
图形用户界面, 文本, 应用程序, Teams

描述已自动生成
说明:
  • 如果您的腾讯云账号所在站点为中国站,请按照如下信息进行配置:
        Single sign on URL:https://cloud.tencent.com/login/saml
        Audience URL(SP Entity ID):cloud.tencent.com
  • 如果您的腾讯云账号所在站点为 International ,请按照如下信息进行配置:
        Single sign on URL:https://intl.cloud.tencent.com/login/saml
        Audience URL(SP Entity ID):intl.cloud.tencent.com
 
再次,需新建"角色"(EDU_VLOVEV_CN_ADMIN 和 EDU_VLOVEV_CN_READONLY),角色载体选择刚刚创建的"身分提供商",并且各自分配好权限策略 管理员 或 只读 权限
图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成
图形用户界面, 应用程序, Teams

描述已自动生成
图形用户界面, 应用程序, Teams

描述已自动生成
 
最后,拿到腾讯云的三个关键信息:
1、AccountID(腾讯云账号ID)2、RoleName(CAM角色名称)3、ProviderName(身份提供产名称)
为接下来的配置做好准备。
 

配置好腾讯云SAML2.0

图形用户界面, 应用程序

描述已自动生成
添加作用域用户
图形用户界面, 文本

描述已自动生成
在没有映射用户之前我们登录试一下
图形用户界面, 文本, 应用程序, 电子邮件, 网站

描述已自动生成
图形用户界面, 应用程序

描述已自动生成
报SAML响应无Roles属性的ERROR
并在宁盾AM的外部用户管理中添加应用用户映射
图形用户界面, 文本, 应用程序, 网站

描述已自动生成
仍然报同样的错误
图形用户界面, 应用程序

描述已自动生成
添加用户ROLE
图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成
qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_ADMIN
qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn
qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_READONLY
qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn
图形用户界面, 文本, 应用程序

描述已自动生成
关键配置:
图形用户界面, 文本, 应用程序, Teams

描述已自动生成
图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成
1.SSO URL (Assertion Consumer Service)
https://cloud.tencent.com/login/saml


2.Audience (SP Entity ID)
cloud.tencent.com
 
3.Custom Attribute:
Key=https://cloud.tencent.com/SAML/Attributes/RoleSessionName Value=user.loginName
5.Extra Attribute:
Key=https://cloud.tencent.com/SAML/Attributes/Role     
Value=qcs::cam::uin/{AccountID}:roleName/{RoleName},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName}



上边{AccountID} 替换为您的腾讯云帐户 ID,可前往 账号信息 - 控制台 查看。
  • {RoleName}替换您在腾讯云为身份提供商所创建的角色名称(单击查看如何在腾讯云 为身份提供商创建的角色),角色名称可前往角色 - 控制台 查看,如需要添加更多可按照该格式添加:qcs::cam::uin/{AccountID}:roleName/{RoleName} ,以 ; 隔开。
  • {ProviderName} 替换您在腾讯云创建的 SAML 身份提供商名称,可前往 身份提供商 - 控制台 查看。
1.     qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_ADMIN,qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn
2.     qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_READONLY,qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn
 
从UC的应用Portal界面登录到腾讯云控制台
图形用户界面, 文本, 应用程序, 网站

描述已自动生成
跳转到腾讯云基于角色的控制台
图形用户界面

描述已自动生成
 

将配置换成:
qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_READONLY,qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn
图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成
可以发现登录后获取的权限已经改变换成了EDU_VLOVEV_CN_READONLY角色
图形用户界面

描述已自动生成
结语:
    目前宁盾已经支持180多家云商或者SaaS服务商的应用接入,不懂的大家可以自行咨询
 

©2021 年 宁盾科技 版权所有。

—END—

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后服务:4000-977-168