aTrust设备能够基于Oauth2.0标准协议,对接第三方认证服务器。允许用户将访问第三方移动应用的认证信息,存储到另外的Oauth服务器上,而不用再将用户名及密码提供给第三方移动应用,用户身份的认证校验都在Oauth服务器上完成,解决单点登录(SSO)可靠性的问题。在SSO单点登录中需要用到Oauth2.0认证,Oauth2.0认证就是为了下次或登录子系统时不用重复输入登录名和密码。
OAuth2.0票据认证流程如下:
aTrust对接OAuth2.0服务器后,相关地址如下:
aTrust客户端接入地址:https://sdpc.company.com
code地址:https://sso.company.com/oauth2/authorize
获取token地址:https://10.243.3.65/oauth2/token
获取用户信息地址:https://10.243.3.65/oauth2/get_user_info
注销地址:https://sso.company.com/oauth2/user_logout
简化认证流程图如下:
明细认证流程图如下:
适用场景和功能效果
当客户的SSO/统一认证门户平台支持Oauth协议,aTrut可作为SSO的一个子应用,进行认证对接,实现如下效果。
认证对接,对接后用户将统一在SSO上认证,认证通过即可上线aTrust平台,避免重复输入密码。在外网接入场景下,在aTrust对接Oauth服务器,有两种实现方式,具体如下。
场景一、 Oauth认证平台本身就暴露在外网,则aTrust平台可根据提供的接口文档信息和Oauth服务器地址直接进行对接。
场景二、 Oauth认证平台存在于内网,或暴露在外网但想改造为不直接暴露在公网,可通过配置免认证应用实现。该方式需将代理网关的一个端口做公网映射,允许用户在外网访问。
在上述两种方案中,建议配合安全策略和SPA(单包授权)进行安全防护。
认证增强, aTrust可通过配置认证策略,实现为Oauth认证的用户进行二次认证增强。
建议使用Chrome浏览器访问!
