Quick BI的登录认证能力,面向企业提供统一访问控制与安全管理服务,多种安全登录认证方式和功能,满足不同企业内控外审的安全诉求的同时,帮助企业构建个性化的登录门户。独立部署环境支持多账号登录,且登录类型支持自定义,本文为您介绍登录配置页说明。
使用限制
仅独立部署支持登录认证。
自定义登录配置页
Quick BI独立部署环境支持多账号体系登录&登录类型自定义,并提供自定义登录配置页。相应的配置为高危操作,需要使用登录认证超管账号进行配置,一般默认为quickBiAdmin账号。若该账号无权限登录或需要添加其他超管账号,请联系运维人员获取。
自定义登录配置仅在Quick BI新登录层中支持,使用前请联系运维人员确认您当前的Quick BI版本是否为新登录层。
登录配置页入口:开放平台->登录认证。
支持特性如下:
多域名支持:一套环境,支持多个域名下不同登录。
每种域名,支持自定义企业登录门户,包括背景、LOGO、登录类型等配置。
每种登录方式,支持参数页面自定义配置。
操作入口
您可以按照图示方式进入登录认证配置界面添加新的登录策略。
您也可选择已有策略进行编辑。
若账号无权限登录时,会出现以下界面,提示“无权限禁止访问”。
请在确定需要添加的登录认证超级管理员后,联系运维同学去添加权限。
配置项说明
策略信息配置
策略信息配置项:
配置项 | 是否必选 | 说明 | |
配置项 | 是否必选 | 说明 | |
策略唯一标识 | 是 | 当前登录策略的唯一标记,全局唯一,最大255字符。 策略唯一标识在添加后,无法再次修改。 | |
策略描述 | 否 | 策略描述,最大512字符。 | |
配置策略 Quick BI访问时,会基于当前策略中的『配置策略』所设定的规则进行路由命中,仅当策略命中后,对应的登录方式以及自定义配置页信息才会生效。 | 锚点 | 是 | 登录策略的作用位置,当前不可修改,默认为Domain,即域名。即解析请求的域名,按照操作符和值进行匹配。 |
操作符 | 是 | 域名(锚点)配置的操作符。支持:- EQUAL,等于,即域名完全相等。 - ENDWITH,结尾匹配,即域名以指定值结尾。 - STARTWITH,开头匹配,即域名以指定值开头。 - CONTAIN, 中间匹配,即域名中间包含指定值。 - NOTNULL, 不为空,即域名不为空,则通配所有的请求 | |
值 | 是 | 域名匹配值。 如果服务请求以 | |
登录态Domain | 否 | 登录态
| |
登录态Domain:对于自建账号、三方SSO跨域场景、OAuth2.0这些需要Quick BI自行维护登录态Cookie的场景,需要指定登录态
Cookie (x_login_ck)的domain信息。必须是域名全称的子集。主要分为以下场景:与域名全称一致。此时,登录态仅Quick BI持有。
是域名全称的子集,一般为域名全称的根域名。例如:域名全称为
qbi.alibaba-inc.com;登录态域名为alibaba-inc.com,那么x_login_ck的域名为.alibaba-inc.com。如果另一个和这个域名根域一致的服务,也同样会获取到x_login_ck。
页面展示设置
框架样式
氛围图
支持使用素材或上传自定义图片。
展示样式支持默认或平铺。
登录框
展示位置支持设置居左、居中或居右。
展示样式支持设置深色或浅色。
当展示样式选择平铺时才支持设置登录框的位置和样式。
内容样式
logo图
支持使用素材或上传本地图片为Logo,上传成功后,显示在登录页左上角Logo。
标题名
即登录页的左上角标题以及浏览器标签页的标题显示,一般为系统名称,例如
Quick BI/奥运报表系统。主题色:支持配置登录主题颜色。
三方渠道展示样式
图标组
按钮组
页脚:支持自定义页脚。
登录方式配置
Quick BI支持集成业界主流的标准协议,如 OAuth2.0、SAML,LDAP等。同时也提供了符合安全规范的SSO协议标准,可以适配更多企业的单点登录需求。
自定义账号配置完成前,请保持Quick BI账号处于打开状态,以免造成不可登录的情况。
自定义账号配置成功且能正常登录后,您可根据需要关闭Quick BI账号。
安全设置配置
支持针对部分登录方式设置IP管控。
IP白名单设置:通过IP控制登录,仅白名单IP可访问。
应用范围:通过IP控制登录,设置IP管控的登录方式。
域名管控:通过域名管控,限制非超级管理员用户直接访问Quick BI系统。
您可以在此输入需要定向跳转到的目标地址,后续在非超管用户通过域名访问Quick BI系统时,不会直接进入Quick BI页面,而是会被重新定向到在此处预先配置的目标地址。
支持在目标跳转地址中使用占位符。在实际跳转时,占位符将会被替换为用户原本访问的Quick BI地址信息,并作为参数传递给目标地址。目标地址即可接收并解析Quick BI页面的相关配置信息。
例如:配置的目标跳转地址为
https://example.com/target?originalUrl={originalUrl},此处的{originalUrl}即为占位符,在实际跳转过程中,将会被替换为用户原本访问的Quick BI地址。域名访问目标跳转地址成功绑定后,控制范围为SSO认证后的各子系统。
登录方式及说明
登录方式 | 说明 |
登录方式 | 说明 |
Quick BI账号 | 提供Quick BI自建账号能力,您无需第三方系统的账户系统,仅需要在Quick BI组织成员中,添加自建账号,便可以实现登录。具体请参见内置账号配置说明。 |
标准SSO | 此为Quick BI自定义的登录对接协议,很多场景下,客户既没有OAuth/SAML等行业标准协议支持,又有自己的登录标准规范,为了统一协议,方便众多客户对接,因此,Quick BI制定了该协议。特点如下:
具体Quick BI自建三方SSO登录协议以及流程请参见自建三方SSO协议及配置说明。 |
EasySSO | 为提升非标登录协议对接的效率,助力企业高效完成单点登录集成,Quick BI全新打造了EasySSO登录协议。EasySSO是Quick BI自定义的一套三方SSO对接方案,主要针对客户自有账户登录系统中没有提供标准的行业登录规范(例如:OAuth2/SAML/LDAP等协议)的场景使用。具体请参见EasySSO协议及配置说明 |
OAuth2.0 | 对于已有支持 OAuth2.0 的鉴权服务器的租户,需要在原有基础上针对外部系统进行接入,从而实现单点登录以及打通企业内部员工基础信息的需求。具体请参见OAuth2.0 协议对接。 |
OIDC | OpenID Connect(OIDC)是建立在 OAuth 2.0 协议之上的身份认证和授权协议,是OAuth2.0的扩展,属于比较主流的登录协议。对于已有支持OIDC的鉴权服务器的租户,需要在原有基础上针对外部系统进行接入,从而实现单点登录以及打通企业内部员工基础信息的需求。 具体请参见OIDC协议对接及配置说明。 |
LDAP | 目前仅支持的LDAP服务器为:Windows系统AD域。 网络要求:LDAP服务器与独立部署的Quick BI网络需要为连通状态。具体请参见LDAP配置说明。 |
CAS | CAS(Central Authentication Service)协议是一种轻量级的单点登录协议,它可以实现用户一次认证结果在多个应用系统中进行共享,从而实现无缝访问。具体请参见CAS协议对接及配置说明。 |
SAML | 该流程使用微软的Azure平台,在使用期间需要对微软的账号进行服务订阅。协议已实现在Quick BI独立部署环境中。具体请参见SAML配置说明。 |
阿里云RAM账号单点登录 | 通过阿里云RAM账号单点登录,具体请参见阿里云RAM账号单点登录。 |
钉钉 | 通过钉钉账号登录,具体请参见钉钉配置。 |
企业微信 | 通过企业微信账号登录,具体请参见企业微信配置。 |
飞书 | 通过飞书账号登录,具体请参见飞书配置。 |
插件登录 | 针对需要使用非标准化登录方式登录Quick BI的场景,Quick BI在登录层引入了插件化开发的理念,实现将身份验证、登出等流程对外开放,允许外部系统根据需求进行定制和扩展。 具体请参见插件登录对接及配置说明。 |
- 本页导读 (0)
- 使用限制
- 自定义登录配置页
- 操作入口
- 配置项说明
- 策略信息配置
- 页面展示设置
- 登录方式配置
- 安全设置配置
- 登录方式及说明
