工业无线

细说研华WISE-PaaS上的SSO单点登录

2025China.cn   2018年08月02日

  WISE-PaaS动态播报

  研华WISE-PaaS工业物联网云平台在不断地升级完善中,“研华智能地球”每周四为您播报其更新动态~

  随着云计算的飞速发展,越来越多的云应用、云服务充斥在日常的工作当中。

  人们在享受信息化带来的便捷的同时,也遭受着应用系统反复登录,工作入口来回切换,数据消息接收不及时等诸多烦恼。伴随着业务系统数量的增加,用户会觉得自己身陷于越来越多的用户账号和密码需要记录,以便于使用各种云服务。

  随着互联网的不断发展,单点登录(Single Sign On,简称SSO),获得了广泛的认可和应用。SSO是指在多个系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

  研华的WISE-PaaS工业物联网云平台,就已为用户提供单点登录(SSO)服务。

  研华WISE-PaaS提供的单点登录机制(SSO),用于管理云平台账户下资源访问权限。

  ▶ 为何要使用SSO?

  ● 方便用户,单一登录机制

  使用云平台SaaS服务的用户仅需使用单一账号进行登录,即可取得所有被授权的应用程序的访问权限,改善用户使用应用系统的体验。

  ● 方便管理者,优化维护管理

  系统管理员只需要维护一套统一的用户账号,优化管理的同时,减少了管理漏洞。

  ● 方便开发者,简化应用系统开发

  方便开发者:云平台SaaS开发者通过整合SSO,无须额外开发帐户管理系统,有效节省了开发时间。

  ▶ SSO具备以下特性:

  ● 简洁的特性

  因为格式为JSON,相较于XML,JWTs可以作为一个URL、POST参数,或在HTTP Header内发送。此外,较小的size传输速度比较快不占用带宽。

  ● 独立的特性

  凭证内容包含关于用户的信息,可以减少数据库查询来验证用户信息。

  ● 认证便利的特性

  一旦使用者登录,每个后续请求都将凭证带在请求的表头,后端服务器收到请求即允许使用者存取该凭证 (token) 允许的路径、服务与资源。如今来说,单点登录是一个广泛使用JWT的特色,因为它简洁,又能够被容易地跨不同领域使用。

  ● 前后端统一支持的特性

  同时支持前端网页(Frontend)与后端(Native)应用单点登录功能,确保最佳用户体验。

  ● 提供完整的Restful API

  提供完整的Restful API供开发者整合,提高整合效率。

  ▶ SSO提供如下功能:

  1、 提供用户注册、用户管理及用户鉴别功能

  注册账号需标识账号角色,且对应Cloud Foundry不同权限。通过使用Cloud Foundry的User Account and Authentication (UAA)对用户进行身份鉴别。

  2、 提供保护机制防范恶意尝试

  WISE-PaaS工业物联网云平台目前要求提供登录功能的环境,均已整合SSO,提供身份验证功能。

  ● 当用户输入错误的凭证时,将认证失败,无法登录平台。

  ● 限制凭证连续输入错误的次数。当超过上限次数后,会导致帐户锁定,需要等待解锁时间并尝试使用正确的凭据。

  ● SSO提供的Token存在有效时长。成功登录平台应用后,若无其他操作,超过有效期后自动将用户登出。

  3、 提供并启用用户身份标识唯一检查功能、用户鉴别信息复杂度检查功能

  ● 用户名称策略:SSO使用Email作为用户身份的唯一标识,并对Email格式提供检查,凡是正确的、不重复的Email均可以注册账户。

  ● 密码认证:用户访问云平台应用时,需要密码认证。同时,该密码也可以用于API方式访问云平台应用资源。

  ● 密码策略:用户设置密码需满足密码策略,防止用户使用简单密码导致账号泄露。

  4、 采用加密方式存储用户的账号和口令信息

  用户的账号以及密码信息,只由Cloud Foundry UAA使用bcrypt加密存储在MySQL数据库,保证用户的密码信息安全。

  5、平台业务访问控制

  WISE-PaaS 云平台提供多租户的服务,租户之间的权限和数据是完全隔离的。

  您的账户下有多个应用服务及解决方案包(SRP)的实例部署在不同租户管理空间中,为了加强权限控制,对资源进行授权,您本身为租户管理员(由平台管理所分配授权),可以再建立子账户绑定不同授权角色分别为平台管理员(admin)、租户管理员( tenant)、租户开发者(developer)和SRP用户(srpUser)。

  ● admin为平台管理员,具有管理所有Organization的权限,可以管理角色为 tenant / developer 的账户。但不能访问租户应用,保护租户的资源。

  ● tenant为Organization管理员,可以管理 organization 中的账号、APP、Services。

  ● developer主要功能为开发应用 (App),由 tenant的账户建立,可以管理被授权的Space中的APP与Services。

  ● srpUser特别为APP创建的角色,App可运用srpUser 进行平台统一的使用者身份验证,再透过App对srpUser授权,决定srpUser在App中可执行的功能。

  6、数据访问控制

  使用WISE-PaaS云平台的数据库服务、IoT Hub服务,需要用户的账号拥有使用Space的权限(SSO developer权限及以上),并在Space中创建相应服务的Service Instance,取得连线凭证,获得访问自己的数据的权限。

  目前WISE-PaaS云平台的微服务,如AFS、WISE-PaaS/Dashboard、SaaS Composer等均已经整合SSO服务。

  此外,云平台提供的解决方案套件,如WISE-PaaS/EdgeSense、WebAccess等的前端网页、后端接口也已经整合SSO服务。

  如此,租户通过使用相应权限的账户,即可以享用云平台的微服务以及解决方案套件。

(转载)

标签:研华 我要反馈 
什么是新一代机器人界面(HMI)?
ABB协作机器人,自动化从未如此简单
优傲机器人下载中心
即刻点击并下载ABB资料,好礼赢不停~
西克
专题报道