背景说明
当前Dataphin支持多套账号系统同时登录Dataphin,用户可将自身的多种登录方式都关联至已有账号。如果用户使用过初始账号,则在对接SSO后,将SSO账号和初始化账号的UID进行绑定。
添加登录方式
在Dataphin Manager首页的顶部菜单栏中单击系统配置,在左侧导航栏中选择登录设置。
在登录设置页面,单击添加登录方式。
跟随配置向导进行协议配置和账号映射。
协议配置
说明每种登录方式仅允许选择一次,已创建的登录方式不可再次选择。
CAS协议
认证服务配置
参数
描述
请选择登录方式
选择CAS协议。
系统名称
在登录页面中,当前登录方式的名称,默认为CAS登录。
系统Icon
在登录页面中,当前登录方式的展示图标。
支持上传PNG和JPG格式、200K以内的图片,若未上传,则使用默认图标。
系统说明(非必填)
对当前系统的简单说明。
CAS版本
可选择CAS2或CAS3。
认证服务器地址
输入CAS认证服务器地址,填写完成后单击测试网络连接,测试连接不通过时,无法单击提交并下一步。
认证服务器登录地址
输入CAS认证服务器登录地址,填写完成后单击测试网络连接,测试连接不通过时,无法单击提交并下一步。
认证服务器登出地址
输入CAS认证服务器登出地址。
登录过期时间
登录态的失效时间,失效后将重新发起登录态校验,最长可设置为1440分钟(24小时)。
用户信息配置
参数
描述
来源系统中用户ID对应的Key
输入来源系统中用户ID对应的Key。
来源系统中用户名对应的Key
输入来源系统中用户名对应的Key,如果不存在则填写用户ID对应的Key。
来源系统中账号对应的Key
输入来源系统中账号对应的Key,如果不存在则填写用户ID对应的Key。
来源系统中手机号对应的Key(非必填)
输入来源系统中手机号对应的Key。
来源系统中邮箱对应的Key(非必填)
输入来源系统中邮箱对应的Key。
OAuth2.0
认证服务配置
参数
描述
请选择登录方式
选择OAuth2.0。
系统名称
在登录页面中,当前登录方式的名称,默认为OAuth2.0登录。
系统Icon
在登录页面中,当前登录方式的展示图标。
支持上传PNG和JPG格式、200K以内的图片,若未上传,则使用默认图标。
系统说明(非必填)
对当前系统的简单说明。
授权模式
当前仅支持Authorization Code模式。
授权服务器登录地址
输入用于获取授权码(code)的URL,请求时会拼接client_id等参数。填写完成后单击测试网络连接,测试连接不通过时,无法单击提交并下一步。
授权服务器登出地址(非必填)
输入授权服务器登出地址。
认证平台类型(非必填)
用于记录当前对接的IDP类型,例如keycloak。
说明若使用服务器登出能力,则此项为必填。
client_id、client_secret
输入由授权服务器颁发给应用的ID和secret,用于鉴权服务器判断请求方是否可信。
请求access_token地址
OAuth2.0鉴权服务器请求access token的地址。
请求access_token补充参数(非必填)
请求access_token时需要添加的额外静态参数
请求access_token传参方式
支持选择URL或Body,默认选择为URL。
Authorization Header类型
支持选择Token或Bearer,默认选择Token。
登录过期时间
登录态的失效时间,失效后将重新发起登录态校验,最长可设置为1440分钟(24小时)。
用户信息配置
参数
描述
请求用户信息地址
输入OAuth2.0鉴权服务器请求用户信息的地址。
请求用户信息补充参数(非必填)
输入请求用户信息时需要添加的补充参数。
用户账户ID解析
从获取的用户信息中得到账户ID所在的JSONPath配置,例如
$.accountId,默认为$.id。用户账户名称解析
从获取的用户信息中得到账户名称所在的JSONPath 配置,例如
$.accountName,默认为$.id。用户昵称解析
从获取的用户信息中得到昵称所在的JSONPath配置,例如
$.nickname,默认为$.id。
SAML
参数
描述
请选择登录方式
选择SAML。
系统名称
在登录页面中,当前登录方式的名称,默认为SAML登录。
系统Icon
在登录页面中,当前登录方式的展示图标。
支持上传PNG和JPG格式、200K以内的图片,若未上传,则使用默认图标。
系统说明(非必填)
对当前系统的简单说明。
认证平台类型
用于记录当前对接的IDP类型,包括但不限于azure、ad-fs、saml等,默认为saml。
认证平台配置文件
上传认证平台的配置文件,仅支持.xlsx格式的文件。
认证平台登录地址
认证平台的登录/登出地址,无需填写,系统将根据元数据文件自动解析。
认证平台登出地址
认证平台证书
认证平台的证书,无需填写,系统将根据元数据文件自动解析。
Dataphin服务元数据(非必选)
单击下载元数据文件,即可下载Dataphin作为SP提供给IDP的元数据文件,包含SP的唯一标识、回调地址等。
身份提供商名称(非必填)
输入由IDP提供的身份名称或ID,某些IDP通信时身份认证会需要此项,请查阅IDP平台说明。
通信绑定方式(非必填)
输入通信绑定方式,与sp.xml中保持一致。若不填则默认为
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect,可选值为urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST。登录过期时间
登录态的失效时间,失效后将重新发起登录态校验,最长可设置为1440分钟(24小时)。
阿里云RAM
认证服务配置
参数
描述
请选择登录方式
选择阿里云RAM。
系统名称
在登录页面中,当前登录方式的名称,默认为阿里云RAM登录。
系统Icon
在登录页面中,当前登录方式的展示图标。
支持上传PNG和JPG格式、200K以内的图片,若未上传,则使用默认图标。
系统说明(非必填)
对当前系统的简单说明。
授权服务器登录地址
输入用于获取授权码(code)的URL,请求时会拼接client_id等参数。填写完成后单击测试网络连接,测试连接不通过时,无法单击提交并下一步。
授权服务器登出地址(非必填)
输入授权服务器登出地址。
client_id、client_secret
输入阿里云RAM访问控制中的OAuth应用的ID和密钥。
请求access_token地址
请求访问令牌access token的地址,默认填写
https://oauth.aliyun.com/v1/token。登录过期时间
登录态的失效时间,失效后将重新发起登录态校验,最长可设置为1440分钟(24小时)。
用户信息配置
参数
描述
请求用户信息地址
鉴权服务器请求用户信息的地址,默认填写
https://oauth.aliyun.com/v1/userinfo。请求用户信息Region(非必填)
输入请求用户信息的Region。
请求用户信息AccessKey ID、请求用户信息AccessKey Secret
输入请求用户信息的AccessKey ID和AccessKey Secret。
飞书
参数
描述
请选择登录方式
选择飞书。
系统名称
在登录页面中,当前登录方式的名称,默认为飞书登录。
系统Icon
在登录页面中,当前登录方式的展示图标。
支持上传PNG和JPG格式、200K以内的图片,若未上传,则使用默认图标。
系统说明(非必填)
对当前系统的简单说明。
授权服务器登录地址
用于获取授权码(code)的URL,采用飞书平台默认值
https://open.feishu.cn/open-apis/authen/v1/index。填写完成后单击测试网络连接,测试连接不通过时,无法单击提交并下一步。App ID、App Secret
输入应用的App ID和App Secret。
登录过期时间
登录态的失效时间,失效后将重新发起登录态校验,最长可设置为1440分钟(24小时)。
三方SSO
认证服务配置
参数
描述
请选择登录方式
选择三方SSO。
系统名称
在登录页面中,当前登录方式的名称,默认为三方SSO登录。
系统Icon
在登录页面中,当前登录方式的展示图标。
支持上传PNG和JPG格式、200K以内的图片,若未上传,则使用默认图标。
系统说明(非必填)
对当前系统的简单说明。
对接文档
认证服务地址
输入认证服务地址,填写完成后单击测试网络连接,测试连接不通过时,无法单击提交并下一步。
登录态校验地址
需提供校验ticket有效性的接口,默认请求路径为
/cookie/validCookie?ticket={ticket}。登出地址
输入登出地址,默认请求路径为
/user/logout?ticket={ticket}。登录成功后是否跳转回Dataphin
当用户未登录时,系统将自动根据登录态校验地址中的返回地址发起认证。登录成功后,如需自动跳转回Dataphin,需在上述返回地址中添加
?target-uri=xxxx,代表登录成功后的跳转地址。用户信息配置
参数
描述
获取用户信息的地址
输入请求用户信息的地址,默认请求路径为
/user/getAllUser。获取方式
支持选择全量获取、分页获取或游标获取,默认选择全量获取。
说明当选择分页获取、游标获取时,还需配置pagesize。
pagesize
输入每页获取的用户数量。
账号映射(可选)
账号映射中展示当前使用Dataphin的所有成员,为保证SSO集成后用户数据的一致性,可配置当前账号与SSO账号之间的映射关系。当未配置映射的用户通过当前登录方式访问Dataphin时,可手动关联账号。
成员列表展示用户名、初始账号、Dataphin用户ID、来源系统用户ID,支持批量搜索、批量导入映射信息以及批量导出操作。
批量搜索:批量输入Dataphin用户ID,系统将进行精确搜索。多个对象之间以回车分隔,最多可输入1000个ID。
批量导入映射信息:单击批量导入映射信息,先批量下载当前账号数据文件(文件名称为dataphin_account_mapping_sso.xlsx),再上传配置好的账号映射信息文件。
说明下载当前账号数据时,默认下载前500条用户信息,如需导出指定用户,可返回列表中选择。
待上传的账号映射信息文件,仅支持.xlsx类型,单次最多上传500个。若导入数据中存在来源系统ID为空的情况,则跳过该条数据。
如需清空用户的来源系统ID,请在列表中进行修改。
单击开始导入后,系统将同步对用户的数据进行校验,若部分导入失败,您可在随后弹出的批量导入部分失败对话框中查看导入失败详情。
批量导出:在列表中选择多个账号后,单击底部的批量导出,导出所选账号的账号数据文件(文件名为dataphin_account_mapping_export_sso.xlsx),文件中包含用户名、初始账号、Dataphin用户ID和来源系统用户ID。
单击确定,系统将自动对账号映射信息进行校验,若报错,可根据提示进行修改。
管理登录方式
在登录设置页面,展示登录方式列表,包含系统名称、系统说明、登录方式、系统编码以及生效状态信息。您可拖动
图标,为登录方式排序。
登录方式:当前支持添加CAS、OAuth2.0、SAML、阿里云RAM、飞书、Dataphin自建账号和三方SSO登录方式。特殊地,当登录方式为其他时,代表当前登录方式为历史对接的协议,暂不支持编辑和删除操作,如需添加新的登录协议,请联系Dataphin运营团队。
系统编码:部分和成员相关的OpenAPI在调用时需要传入的账号系统编码信息,用于明确用户ID的来源系统。
版本升级成功后,登录方式列表中将展示正在使用的登录方式,其系统名称为默认登录、系统说明为默认登录方式。
登录方式支持的管理操作如下。
操作项 | 说明 |
停用 | 单击目标登录方式操作列中的 |
启用 | 所有登录方式新建成功后将立即启用。单击未生效登录方式操作列中的 |
编辑 | 单击目标登录方式操作列中的 Dataphin自建账号登录方式编辑时支持配置以下参数:
|
删除 | 单击目标登录方式操作列中的 说明 Dataphin自建账号登录方式不支持删除。 |
图标,在弹出的对话框中单击确定,停用对应登录方式。停用后,所有对应系统的账号将无法登录。
图标,启用对应登录方式。
图标,跟随配置向导进行编辑,编辑时不影响启用状态。除Dataphin自建账号登录方式外,其他登录方式可编辑参数同创建操作,详情请参见
图标,在弹出的对话框中单击确定,删除对应登录方式。删除后,所有对应系统的账号将无法登录。