如何配置 UAA 作为 SP 和 IdP

2023-11-21 02:21
文章标签 配置 sp uaa idp

本文主要是介绍如何配置 UAA 作为 SP 和 IdP,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

作者:蒋飙,软件工程师,GE 数字集团用户

身份的认证、授权和管理是网络应用的重要组成部分。User Account and Authentication(用户账户和认证,简称 UAA)作为 Predix 安全系统的核心,既能作为 Identity Provider(身份源,简称 IdP)提供用户身份的认证、授权和管理功能,也能作为 Service Provider(服务源,简称 SP)从其它 IdP(例如 Microsoft Active Directory)获取用户身份信息。

本文将通过连接两个 UAA 实例,展示如何使用 UAA 作为 Service Provider(服务源,简称 SP)和 Identity Provider(身份源,简称 IdP)。

创建第一个 UAA 实例(IdP)


在 Predix 首页点击 CATALOG(目录),默认进入 Services(服务)目录。

选择 Security(安全)分类中的 User Account and Authentication(用户账户和认证,简称 UAA)服务。



选择 Plan Options(可选计划)中的 FREE(免费),并 Subscribe(订阅)。



指定 Org(组织)、Space(空间)、Service instance name(服务实例名称,如 example-idp)、Service plan(服务计划)、Admin client secret(管理员客户端密匙),点击 Create Service(创建服务)。

此服务将被作为 Identity Provider(身份源,简称 IdP)。

点击 Open Service Instance(打开服务实例),并使用之前指定的管理员客户端密匙登录。



记录第一个 UAA 服务实例的网址(如 https://b2ad5b63-5985-445b-8b0a-43d5bfea14b2.predix-uaa.run.aws-jp01-pr.ice.predix.io)。



构造网址(如 https://b2ad5b63-5985-445b-8b0a-43d5bfea14b2.predix-uaa.run.aws-jp01-pr.ice.predix.io/saml/idp/metadata)下载 IdP 元数据文件,并命名(如 example-idp.xml)。

创建第二个 UAA 实例(SP)


步骤同上,再次创建服务实例(如 example-sp)。


此服务将被作为 Service Provider(服务源,简称 SP)。

点击 Open Service Instance(打开服务实例),并使用之前指定的管理员客户端密匙登录。

记录第二个 UAA 服务实例的网址(如 https://fa8244c4-eebd-43eb-8de6-18ab7818359d.predix-uaa.run.aws-jp01-pr.ice.predix.io)。

构造网址(如 https://fa8244c4-eebd-43eb-8de6-18ab7818359d.predix-uaa.run.aws-jp01-pr.ice.predix.io/saml/metadata/alias/fa8244c4-eebd-43eb-8de6-18ab7818359d.cloudfoundry-saml-login)下载 SP 元数据文件,并命名(如 example-sp.xml)。

配置第二个 UAA 实例(SP)


打开 Identity Providers(身份源),选择 New Identity Provider(新建身份源)。



指定 Name(名称,如 example-idp)、Type(类型,SAML),通过 Choose Identity Provider Metadata(选择身份源元数据)指定第一个 UAA 的 IdP 元数据文件,并保存。



打开 Client Management(客户端管理),选择 Create Client(新建客户端)。



指定 Client ID(客户端 ID,如 example-client-sp)、Authorized Grant Types(授权类型,authorization_code)、Client secret(客户端密匙)、Redirect URI(重定向网址,如 http://localhost:50000/authcode 和 http://localhost:50000/callback)、Scopes(权限,openid)、Allowed Providers(允许的源,如 example-idp),点击 Save(保存)。

配置第一个 UAA 实例(IdP)


点击 Open Service Instance(打开服务实例),并使用之前指定的管理员客户端密匙登录。

打开 Identity Providers(身份源),选择 New Service Provider(新建服务源)。

指定 Name(名称,如 example-sp),通过 Choose Service Provider Metadata(选择服务源元数据)指定第二个 UAA 的 SP 元数据文件,查看元数据文件,记录并指定 Entity ID(实体 ID,如 fa8244c4-eebd-43eb-8de6-18ab7818359d.cloudfoundry-saml-login),点击 Save(保存)。

打开 User Management(用户管理),选择 Create User(新建用户)。



指定 Username(用户名,如 example-user-idp)、Email(电子邮箱)、Password(密码)、Given Name(名)、Family Name(姓),点击 Save(保存)。

验证结果


打开 UAAC 指向第二个 UAA 实例(SP)。

uaac target https://fa8244c4-eebd-43eb-8de6-18ab7818359d.predix-uaa.run.aws-jp01-pr.ice.predix.io

尝试获取授权。注意此时浏览器网址,登录页面自动导向第一个 UAA 实例(IdP)。

uaac token authcode get --client example-client-sp --port 50000



使用之前指定的用户登录。注意此时浏览器网址,授权页面自动导向第二个 UAA 实例(SP)。点击 Authorize 授权。



查看令牌。

uaac token decodejti: 7c49b24728034d90bdfac76b462baf66
nonce: 20a2093389bd5dd9af8f76310e720311
sub: 7acc5fb8-e1d2-4e3c-90c2-a167014edbc1
scope: openid
client_id: example-client-sp
cid: example-client-sp
azp: example-client-sp
grant_type: authorization_code
user_id: 7acc5fb8-e1d2-4e3c-90c2-a167014edbc1
origin: example-idp
user_name: example-user-idp
email: example-user-idp@unknown.org
auth_time: 1497258462
rev_sig: 9179a965
iat: 1497258692
exp: 1497301892
iss: https://fa8244c4-eebd-43eb-8de6-18ab7818359d.predix-uaa.run.aws-jp01-pr.ice.predix.io/oauth/token
zid: fa8244c4-eebd-43eb-8de6-18ab7818359d
aud: example-client-sp openid

至此,两个 UAA 实例成功连接。

如果您在使用中有任何问题,欢迎访问我们的论坛 http://bbs.csdn.net/forums/GEPredix,GE 数字集团的技术专家们会在线解答您的问题。

同时欢迎访问我们在 CSDN 的 Predix 专区 http://predix.csdn.net 了解更多 Predix 的内容和相关活动。

这篇关于如何配置 UAA 作为 SP 和 IdP的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/399176

相关文章

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则

SpringBoot中封装Cors自动配置方式

《SpringBoot中封装Cors自动配置方式》:本文主要介绍SpringBoot中封装Cors自动配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot封装Cors自动配置背景实现步骤1. 创建 GlobalCorsProperties

Spring Boot结成MyBatis-Plus最全配置指南

《SpringBoot结成MyBatis-Plus最全配置指南》本文主要介绍了SpringBoot结成MyBatis-Plus最全配置指南,包括依赖引入、配置数据源、Mapper扫描、基本CRUD操... 目录前言详细操作一.创建项目并引入相关依赖二.配置数据源信息三.编写相关代码查zsRArly询数据库数

SpringBoot配置Ollama实现本地部署DeepSeek

《SpringBoot配置Ollama实现本地部署DeepSeek》本文主要介绍了在本地环境中使用Ollama配置DeepSeek模型,并在IntelliJIDEA中创建一个Sprin... 目录前言详细步骤一、本地配置DeepSeek二、SpringBoot项目调用本地DeepSeek前言随着人工智能技

如何自定义Nginx JSON日志格式配置

《如何自定义NginxJSON日志格式配置》Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种... 目录前言为什么选择jsON格式日志?配置步骤详解1. 安装Nginx服务2. 自定义JSON日志格式各

使用Python实现网络设备配置备份与恢复

《使用Python实现网络设备配置备份与恢复》网络设备配置备份与恢复在网络安全管理中起着至关重要的作用,本文为大家介绍了如何通过Python实现网络设备配置备份与恢复,需要的可以参考下... 目录一、网络设备配置备份与恢复的概念与重要性二、网络设备配置备份与恢复的分类三、python网络设备配置备份与恢复实