自定义企业登录门户

Quick BI的登录认证能力,面向企业提供统一访问控制与安全管理服务,多种安全登录认证方式和功能,满足不同企业内控外审的安全诉求的同时,帮助企业构建个性化的登录门户。独立部署环境支持多账号登录,且登录类型支持自定义,本文为您介绍登录配置页说明。

功能概述

Quick BI的登录认证配备了丰富的安全登录认证选项,可以满足不同企业对内部管控和外部审计的安全要求,帮助企业打造独特的登录门户,为企业提供全方位的统一访问控制和安全管理服务。

应用场景

  • 企业使用多产品系统

    企业需要处理大量数据,而且常常依赖多个软件和平台来开展日常的数据运营。因此,他们需要一个统一的登录入口,以便中央化地管理和控制对报表的访问权限。

  • 企业文化透传

    企业往往需要根据自己的品牌形象和文化,定制化设计企业使用的各项产品登录页面,以便在用户登录时也能随时感受到企业的文化氛围。

  • 行业安全合规要求

    政企、金融等有严格的合规性要求的行业客户,往往需要建立统一的安全登录门户来确保对BI工具的安全访问,包括生成审计日志和合规性报告,以遵守监管机构的规定。

主要优势

  • 可自定义的登录策略

    Quick BI为不同域名量身打造灵活的登录环境,支持多样化的认证方式,每一种登录方法均可根据企业需求定制参数,实现个性化配置,从而帮助企业以更高效、更个性化的方式管理和使用数据资源。

  • 个性化企业登录门户

    Quick BI支持为每个域名定制独特的企业登录门户,提供了自定义背景、LOGO、登录方式等丰富元素的支持,在登录门户中也能透传企业文化。

  • 增强安全防护

    Quick BI通过提供基于登录方式的IP白名单管理机制,为企业打造了坚固的安全防线。此外,通过采用多重密码验证机制,有效增强了抵御暴力破解攻击的能力,确保企业数据的安全性。

  • 多协议高效对接

    Quick BI的单点登录(SSO)集成兼容行业内广泛认可的OAuth2、LDAP、SAMLCAS等行业标准登录协议,确保能与各类企业身份认证平台无缝对接。

    对于未使用行业标准登录协议的企业,Quick BI还提供了自主研发的标准SSOEasySSO协议。其中,EasySSO协议能帮助企业在1天内快速完成登录集成对接,极大提高了集成效率。

使用限制

仅独立部署支持自定义企业登录门户。

自定义登录配置页

Quick BI独立部署环境支持多账号体系登录&登录类型自定义,并提供自定义登录配置页。相应的配置为高危操作,需要使用登录认证超管账号进行配置。若该账号无权限登录或需要添加其他超管账号,请联系运维人员获取。

说明

自定义登录配置仅在Quick BI新登录层中支持,使用前请联系运维人员确认您当前的Quick BI版本是否为新登录层。

登录配置页入口:开放平台->登录认证。

支持特性如下:

  • 多域名支持:一套环境,支持多个域名下不同登录。

  • 每种域名,支持自定义企业登录门户,包括背景、LOGO、登录类型等配置。

  • 每种登录方式,支持参数页面自定义配置。

操作入口

您可以按照图示方式进入登录认证配置界面添加新的登录策略。

image

您也可选择已有策略进行编辑。

image

若账号无权限登录时,会出现以下界面,提示“页面涉及系统重要配置,仅登录认证超级管理员可操作”。

请在确定需要添加的登录认证超级管理员后,联系运维同学去添加权限。

image

配置项说明

策略信息配置

image

策略信息配置项:

配置项

是否必选

说明

策略唯一标识

当前登录策略的唯一标记,全局唯一,最大255字符。

说明

策略唯一标识在添加后,无法再次修改。

策略描述

策略描述,最大512字符。

配置策略

说明

Quick BI访问时,会基于当前策略中的『配置策略』所设定的规则进行路由命中,仅当策略命中后,对应的登录方式以及自定义配置页信息才会生效。

锚点

登录策略的作用位置,当前不可修改,默认为Domain,即域名。即解析请求的域名,按照操作符和值进行匹配。

操作符

域名(锚点)配置的操作符。支持:- EQUAL,等于,即域名完全相等。

- ENDWITH,结尾匹配,即域名以指定值结尾。

- STARTWITH,开头匹配,即域名以指定值开头。

- CONTAIN, 中间匹配,即域名中间包含指定值。

- NOTNULL, 不为空,即域名不为空,则通配所有的请求

域名匹配值。

如果服务请求以IP + 端口访问,则不含端口信息。

登录态Domain

登录态Cookie x-login-ck的域名信息。

  • 若填,则必须是域名全称的子集。

  • 若不填,默认登录态cookie domain为当前域名。

  • 登录态Domain:对于自建账号、三方SSO跨域场景、OAuth2.0这些需要Quick BI自行维护登录态Cookie的场景,需要指定登录态Cookie (x_login_ck)domain信息。必须是域名全称的子集。主要分为以下场景:

    • 与域名全称一致。此时,登录态仅Quick BI持有。

    • 是域名全称的子集,一般为域名全称的根域名。例如:域名全称为 qbi.alibaba-inc.com;登录态域名为alibaba-inc.com,那么x_login_ck的域名为.alibaba-inc.com。如果另一个和这个域名根域一致的服务,也同样会获取到x_login_ck

image.png

页面展示设置

image

  • 框架样式

    • 氛围图

      • 支持使用素材或上传自定义图片。

      • 展示样式支持默认或平铺。

        image

    • 登录框

      • 展示位置支持设置居左、居中或居右。

      • 展示样式支持设置深色或浅色。

        说明

        当展示样式选择平铺时才支持设置登录框的位置和样式。

  • 内容样式

    • logo

      支持使用素材或上传本地图片为Logo,上传成功后,显示在登录页左上角Logo。

    • 标题名

      即登录页的左上角标题以及浏览器标签页的标题显示,一般为系统名称,例如Quick BI/奥运报表系统

    • 主题色:支持配置登录主题颜色。

      image

  • 三方渠道展示样式

    • 图标组

      image

    • 按钮组

      image

  • 页脚:支持自定义页脚。

登录方式配置

Quick BI支持集成业界主流的标准协议,如 OAuth2.0、SAML,LDAP等。同时也提供了符合安全规范的SSO协议标准,可以适配更多企业的单点登录需求。

image

说明
  • 自定义账号配置完成前,请保持Quick BI账号处于打开状态,以免造成不可登录的情况。

  • 自定义账号配置成功且能正常登录后,您可根据需要关闭Quick BI账号。

    image

安全设置配置

支持针对部分登录方式设置IP管控。

image

  • IP白名单设置:通过IP控制登录,仅白名单IP可访问。

  • 应用范围:通过IP控制登录,设置IP管控的登录方式。

  • 域名管控:通过域名管控,限制非超级管理员用户直接访问Quick BI系统。

    您可以在此输入需要定向跳转到的目标地址,后续在非超管用户通过域名访问Quick BI系统时,不会直接进入Quick BI页面,而是会被重新定向到在此处预先配置的目标地址。

    说明
    • 支持在目标跳转地址中使用占位符。在实际跳转时,占位符将会被替换为用户原本访问的Quick BI地址信息,并作为参数传递给目标地址。目标地址即可接收并解析Quick BI页面的相关配置信息。

      例如:配置的目标跳转地址为https://example.com/target?originalUrl={originalUrl},此处的{originalUrl}即为占位符,在实际跳转过程中,将会被替换为用户原本访问的Quick BI地址。

    • 域名访问目标跳转地址成功绑定后,控制范围为SSO认证后的各子系统。

登录方式及说明

在配置登录认证时,支持配置多个登录策略,每个登录策略中可包含多种登录方式。例如,可以在一个登录策略中同时配置OAuth2.0、EasySSOSAML等多种不同协议的登录方式。

登录方式

说明

Quick BI账号

提供Quick BI自建账号能力,您无需第三方系统的账户系统,仅需要在Quick BI组织成员中,添加自建账号,便可以实现登录。具体请参见内置账号配置说明

标准SSO

此为Quick BI自定义的登录对接协议,很多场景下,客户既没有OAuth/SAML等行业标准协议支持,又有自己的登录标准规范,为了统一协议,方便众多客户对接,因此,Quick BI制定了该协议。特点如下:

  • 两个页面(登录页、登出页/接口) & 两个接口(登录态校验、用户信息获取);对接简单。

  • 支持同根域、跨域场景;覆盖场景全支持接口级别签名校验;更安全。

  • 支持Cookie & Session有效期设定;定义灵活

具体Quick BI自建三方SSO登录协议以及流程请参见自建三方SSO协议及配置说明

EasySSO

为提升非标登录协议对接的效率,助力企业高效完成单点登录集成,Quick BI全新打造了EasySSO登录协议。EasySSOQuick BI自定义的一套三方SSO对接方案,主要针对客户自有账户登录系统中没有提供标准的行业登录规范(例如:OAuth2/SAML/LDAP等协议)的场景使用。具体请参见EasySSO协议及配置说明

OAuth2.0

对于已有支持 OAuth2.0 的鉴权服务器的租户,需要在原有基础上针对外部系统进行接入,从而实现单点登录以及打通企业内部员工基础信息的需求。具体请参见OAuth2.0 协议对接

OIDC

OpenID Connect(OIDC)是建立在 OAuth 2.0 协议之上的身份认证和授权协议,是OAuth2.0的扩展,属于比较主流的登录协议。对于已有支持OIDC的鉴权服务器的租户,需要在原有基础上针对外部系统进行接入,从而实现单点登录以及打通企业内部员工基础信息的需求。

具体请参见OIDC协议对接及配置说明

LDAP

目前仅支持的LDAP服务器为:Windows系统AD域。

网络要求:LDAP服务器与独立部署的Quick BI网络需要为连通状态。具体请参见LDAP配置说明

CAS

CAS(Central Authentication Service)协议是一种轻量级的单点登录协议,它可以实现用户一次认证结果在多个应用系统中进行共享,从而实现无缝访问。具体请参见CAS协议对接及配置说明

SAML

该流程使用微软的Azure平台,在使用期间需要对微软的账号进行服务订阅。协议已实现在Quick BI独立部署环境中。具体请参见SAML配置说明

阿里云RAM账号单点登录

通过阿里云RAM账号单点登录,具体请参见阿里云RAM账号单点登录

钉钉

通过钉钉账号登录,具体请参见钉钉配置

企业微信

通过企业微信账号登录,具体请参见企业微信配置

飞书

通过飞书账号登录,具体请参见飞书配置

插件登录

针对需要使用非标准化登录方式登录Quick BI的场景,Quick BI在登录层引入了插件化开发的理念,实现将身份验证、登出等流程对外开放,允许外部系统根据需求进行定制和扩展。

具体请参见插件登录对接及配置说明

常见问题

配置自定义登录门户需要什么权限?

Quick BI独立部署环境配置自定义登录门户时,需要使用登录认证超管账号(通常默认是quickBiAdmin)进行配置。如果您的账号没有权限,请联系运维人员添加。

独立部署是否支持多人同时登录同一账号?

支持。依次单击进入配置面板 -> 组织信息 -> 超管后台 -> 登录系统管理 -> 多设备登录拦截配置,开启允许重复登录的配置项后,系统将支持同一账号在同一时间登录多个设备,此时登录人数不受限制。若关闭此配置项,同一账号在同一时间仅允许登录一个设备,新登录成功后,之前的登录将会失效。

image.png

独立部署登录有效时间最大可以设置多少?

登录有效期默认为86400秒,可根据业务需求在登录设置中配置一个合理的登录有效期,如果有效期设置为-1,则表示登录会随浏览器的关闭而失效。

是不是所有Quick BI版本都支持自定义企业登录这个功能?

自定义企业登录门户功能仅适用于Quick BI的独立部署环境,公共云环境不支持,此外,请确保您的Quick BI实例使用的是新登录层。具体部署版本情况请与产品运维人员确认。

“策略信息配置”中的“配置策略”是做什么用的?

“配置策略”主要用于定义当前登录门户配置生效的条件。它通过匹配用户访问Quick BI时所使用的域名(锚点为Domain),并根据设定的操作符(如等于、开头包含等)和值,来决定是否应用当前策略下的页面展示、登录方式和安全设置。这使得一套Quick BI能够为不同的访问域名提供不同的登录体验。

Quick BI退出登录时耗时很久无法正常退出是什么原因?

退出登录时,会调用高德地图服务的IP定位地址接口,此时需要Quick BI服务的网络与高德服务restapi.amap.com的网络打通,如果网络存在限制而无法连接,则接口调用将会失败,退出登录也将会失败。

解决方案:

  1. 打通Quick BI服务与restapi.amap.com高德服务的网络。

  2. 使用超管账号(默认是quickBiAdmin)登录访问超管后台运维中心,在登录系统管理配置-登出配置项中,关闭获取登出IP位置的配置项。image