在IDaaS认证鉴权中,您可以使用统一的身份认证凭证(如用户名和密码、多因素认证等)来访问各应用和服务,而无需单独针对每个应用进行认证。
前提条件
开通阿里云IDaaS。
创建一个OAuth2应用,具体操作,请参见OAuth2.0模板使用指南。
创建鉴权
登录MSE网关管理控制台。
在左侧导航栏,选择云原生网关 > 网关列表,并在顶部菜单栏选择地域。
在网关列表页面,单击目标网关名称。
在左侧导航栏,选择安全管理 > 全局认证鉴权。
在页面左上角,单击创建鉴权配置网关鉴权相关参数,然后单击确定。
云原生网关IDaaS认证鉴权参数说明如下。
参数
描述
鉴权名称
自定义云原生网关鉴权的名称。
鉴权类型
选择IDaaS认证方式。
用户登录页地址
输入IDaaS实例用户登录页地址。
重定向URL
输入授权成功后的重定向地址,需要与IDaaS中配置的重定向地址保持一致。
Client-ID
输入IDaaS OAuth2应用注册的应用标识ID。
Client-Secret
输入IDaaS OAuth2应用注册的应用Secret。
Cookie-Domain
输入Cookie的域名,认证通过后会将Cookie发送到指定的域名,保持登录状态。例如:设置
Cookie-domain=a.example.com
,则Cookie会发送到域名a.example.com;设置Cookie-domain=.example.com
,则Cookie会发送到example.com的所有子域名。授权
授权模式支持白名单模式和黑名单模式。
白名单模式:白名单中的hosts+paths不需要校验即可访问,其余都需要校验。
黑名单模式:黑名单中的hosts+paths需要校验,其余可直接访问。
单击规则条件,设置请求域名和路径。
域名:请求访问的域名,即hosts。
路径(Path):请求访问的接口Path,即paths。
查看鉴权详情
登录MSE网关管理控制台。
在左侧导航栏,选择云原生网关 > 网关列表,并在顶部菜单栏选择地域。
在网关列表页面,单击目标网关名称。
在左侧导航栏,选择安全管理 > 全局认证鉴权。
在全局认证鉴权页面,单击鉴权规则名称或操作列的详情,可查看当前认证配置和授权信息的管理。
您可在授权信息区域单击创建授权信息,在对话框中输入请求域名和请求Path,并选择匹配方式,单击确定新增授权规则。
结果验证
返回全局认证鉴权页面查看鉴权信息,如果已包含新建的网关鉴权信息,则说明网关认证鉴权新建成功。
相关操作
您还可以执行以下其他操作,管理网关的认证鉴权:
开启鉴权:在全局认证鉴权页面,单击目标鉴权规则操作列的开启,使认证鉴权信息生效。
关闭鉴权:在全局认证鉴权页面,单击目标鉴权规则操作列的关闭,关闭网关认证鉴权信息。
编辑鉴权:在全局认证鉴权页面,单击目标鉴权规则操作列的编辑,可编辑网关认证鉴权信息。
删除鉴权:在全局认证鉴权页面,单击目标鉴权规则操作列的删除,可删除网关认证鉴权信息。
只有在认证鉴权信息关闭的状态下才可执行删除操作。
相关文档
云身份服务 IDaaS是阿里云为企业用户提供的身份、权限管理体系。更多信息,请参见什么是IDaaS EIAM?。
如果您想了解其他认证鉴权机制,请参见网关认证鉴权概述。