预制条件

1. aTrust控制器SDPC和代理网关Proxy已安装。

2. 控制中心SDPC与idTrust认证服务器网络互通，且idTrust上配置添加SDPC作为授信应用地址。

3. 提前获取idTrust-OAuth2.0认证对接API接口文档。

配置指导

1. 获取aTrust和Oauth基础信息

1. 由于是将aTrust作为idTrust-Oauth认证平台的子应用，在aTrust和idTrust双方都需进行配置。

4. 举例场景二，客户将公网认证服务器暴露在公网进行认证登录，现在想通过aTrust进行对接，假设aTrust和idTrust的基础信息如下。

5. aTrust互联网接入地址：https://sdpc.company.com，该地址互联网可直接访问并完成登录。Oauth SSO的内网地址为：https://10.XXX.XX.65

6. idTrust SSO的外网地址为：https://sso.company.com，该地址互联网可以正常访问并完成登录（将该SSO的外网域名地址的解析关系更改为代理网关，并将代理网关的443端口做映射。若考虑到在测试前期不想将原有域名做解析更改（影 响原有用户认证），可申请一个新的域名，本次举例以该域名解析更改至代理网关举例）。

2. 获取Oauth认证信息

   获取客户的认证接口文档（若无接口文档，需提供配置Oauth认证的相关信息包括OauthCode地址、Client_ID、Token地址、Client_Secret、用户信息请求地址）。

   获取目的：这些信息需要配置到aTrust系统上，以便完成配置对接工作。

1. 在Oauth认证平台上为aTrust进行子应用配置和授权，典型的方式为，在Oauth系统上创建一个新的子应用，并填写相 应内容完成配置。由于各Oauth系统配置有所不同，此处以Sangfor IDTrust为例进行示例，具体如下。

2. 登录IDTrust平台，在[应用管理]新增一个oauth认证应用，完成基本信息配置，URL地址填写为aTrust客户端接入地址。

   注：URL地址表明允许指定的地址发送访问请求，即地址加白。

5. 完成认证设置配置，应用类型选择web，SSO协议选择OAuth2.0，登录跳转URL地址填写为[https://sdp域名地址:端口/passport/v1/auth/oauth2]，同时在该页面下载OAuth的接口说明文档，用于给aTrust对接做参考。

注：URL地址表明OAuth服务器通过用户验证后，将认证信息返回的目标地址路径。

6. 完成OAuth服务器的映射字段配置，定义指定的请求字段信息。

7. 提交保存配置后，重新打开该新建的应用，将生成的Client ID和Client Secret记录。

   

8. 最终根据配置和接口文档获取可得。

   Code地址：https://sso.company.com/oauth2/authorize

   Client_ID：4200342196

   Token 地 址 ：https://10.243.3.65/oauth2/token

   Client_Secret：90c7222b7117074f949176e37fb3b092

   用户信息请求地址：https://10.243.3.65/oauth2/get_user_info

   注销地址：https://sso.company.com/oauth2/user_logout

3. 配置免认证应用

免认证应用是一个web应用，由代理网关直接代理访问，不需要进行身份鉴别（即不需要对用户做应用授权也能访问）。 适用于认证服务器暴露在外网，但想改造为不直接暴露在公网的场景。此种方式存在安全风险，不建议发布业务应用地 址。

1. 管理员登录aTurst控制台，进入[业务管理/应用管理/免认证应用]配置页面，点击<新增>。

9. 进入免认证应用配置页面，配置逻辑与普通的web应用配置一致。即前端访问地址填写域名（域名的A记录解析地址需指向代理网关，同时将对应的端口做公网端口映射），后端服务器地址填写认证服务器的内网域名地址或IP地址。点 击<保存>完成免认证应用的配置。

4. OAuth认证服务器对接配置

.需要完成基本信息、认证配置和注销配置的信息配置。

名称：名称可以根据实际情况填写。此处命名为IDTrust-Oauth认证

认证域：主要是在多个认证方式的情况下，区分认证方式的，员工可以看到，建议可读性好一些。此处命名为@sso- company。

认证超时：设定认证的超时时间。

认证配置如下：

Code地址：该地址用来显示认证服务器的认证页面，需填写浏览器在互联网能访问的OAuth地址，即免认证应用的前端 访问地址（若未使用免认证应用，则填写认证服务器的互联网地址或域名）。

Token地址：认证门户获取code后，访问该地址获取认证服务器的ticket授权信息，需填写aTrust控制中心能访问到的OAuth2服务器内网IP地址或内网域名。

用户信息请求地址：使用ticket获取用户认证请求结果信息，需填写aTrust控制中心可访问到OAuth2服务器的内网IP或域名。

接收字段：接收字段主要用于从认证接口返回值中获取用户名、组织架构、用户群组、手机号码、邮箱等信息。

注销配置

用户注销地址：该地址用来实现用户的注销，需填写浏览器在互联网能访问的OAuth地址，即免认证应用的前端访问地址

（若未使用免认证应用，则填写认证服务器的互联网地址或域名）。

用户源设置

认证方式需要绑定到用户目录（也称用户源），以获取用户对应的角色授权和组织结构授权的资源，以及相关安全策略、 认证策略。支持多种认证方式绑定到同一个用户目录，以实现一个用户，相同的权限策略，但是具备多种认证方式。

根据配置情况的不同，用户源设置有两种场景配置，分别是如下。

场景1. 已配置好的OAuth2.0认证服务器的用户目录，可直接选择。比如此场景下，OAuth2.0系统(Sangfor IDTrust)具备LDAP用户源供给的能力，提前已经建立好了LDAP 用户目录，选择即可。

场景2. 如果未新建好，可直接点击新增，会跳转到用户目录新建页面，选择在线获取用户（支持对接MSActiveDirectory/Open LDAP/Sangfor IDTrust LDAP）或自选择定义获取用户（可批量导入本地用户） ，具体配置可在该页面查看右侧帮助教程。

10. OAuth2.0票据认证服务器对接完成后，导入OAuth2.0认证服务器组织架构/标签/用户,并授权应用。

11. 完成对接后，输入aTrust客户端接入地址，页面可重定向到OAuth2.0认证服务器认证页面，也可显示我们的认证界面选择不同的认证方式。

    方式一：浏览器输入客户端接入地址，重定向跳转至OAuth2.0认证服务器的认证页面。

    管理员登录控制中心，在[系统管理/系统设置/登录门户/门户设置]-选择默认跳转三方登录。

    

    

    方式二：浏览器输入客户端接入地址，不直接重定向至OAuth2.0认证服务器的认证页面，而是显示aTrust自己的认证界面。

    管理员登录控制中心，在[系统管理/系统设置/登录门户/门户设置]-选择手动点击后跳转登录。

    

    

注意事项

1. OAuth2.0认证服务器对接，需保证SDPC与OAuth2.0服务器网络通信正常。

2. aTrust与IDtrust对接后，用户退出会有异常现场，这是因为IDtrust没有注销模块。对接OAuth2.0认证服务器后，如没有导入组织架构或用户时，想要用OAuth2.0服务器用户登录，需在创建用户源时选择用户未导入时，允许登录，使用默认授权。

3. 当前不支持直接从OAuth2.0服务器上导用户，只有当OAuth2.0服务器有管理接口AD域时，支持用户的搜索导入添加，其余只能通过手动录入方式进行添加外部用户

4. 当前只支持添加一个idTrust-OAuth2.0认证服务器

添加认证服务器时，倘若存在认证服务器的接收字段配置与真实认证服务器上字段不一致的话，将导致该字段类型无法完成票据认证，无法接收到信息