自定义企业登录门户-阿里云帮助中心

Quick BI的登录认证能力，面向企业提供统一访问控制与安全管理服务，多种安全登录认证方式和功能，满足不同企业内控外审的安全诉求的同时，帮助企业构建个性化的登录门户。独立部署环境支持多账号登录，且登录类型支持自定义，本文为您介绍登录配置页说明。

自定义登录配置页

Quick BI独立部署环境支持多账号体系登录&登录类型自定义，并提供自定义登录配置页。相应的配置为高危操作，需要使用登录认证超管账号进行配置，一般默认为quickBiAdmin账号。若该账号无权限登录或需要添加其他超管账号，请联系运维人员获取。

说明

自定义登录配置仅在Quick BI新登录层中支持，使用前请联系运维人员确认您当前的Quick BI版本是否为新登录层。

登录配置页入口：开放平台->登录认证。

支持特性如下：

多域名支持：一套环境，支持多个域名下不同登录。
每种域名，支持自定义企业登录门户，包括背景、LOGO、登录类型等配置。
每种登录方式，支持参数页面自定义配置。

操作入口

您可以按照图示方式进入登录认证配置界面添加新的登录策略。

您也可选择已有策略进行编辑。

若账号无权限登录时，会出现以下界面，提示“无权限禁止访问”。

请在确定需要添加的登录认证超级管理员后，联系运维同学去添加权限。

配置项说明

策略信息配置

策略信息配置项：

配置项		是否必选	说明
策略唯一标识		是	当前登录策略的唯一标记，全局唯一，最大255字符。说明策略唯一标识在添加后，无法再次修改。
策略描述		否	策略描述，最大512字符。
配置策略说明 Quick BI访问时，会基于当前策略中的『配置策略』所设定的规则进行路由命中，仅当策略命中后，对应的登录方式以及自定义配置页信息才会生效。	锚点	是	登录策略的作用位置，当前不可修改，默认为Domain，即域名。即解析请求的域名，按照操作符和值进行匹配。
	操作符	是	域名（锚点）配置的操作符。支持：- EQUAL，等于，即域名完全相等。 - ENDWITH，结尾匹配，即域名以指定值结尾。 - STARTWITH，开头匹配，即域名以指定值开头。 - CONTAIN, 中间匹配，即域名中间包含指定值。 - NOTNULL，不为空，即域名不为空，则通配所有的请求
	值	是	域名匹配值。如果服务请求以`IP + 端口`访问，则不含端口信息。
登录态Domain		否	登录态`Cookie x-login-ck`的域名信息。若填，则必须是域名全称的子集。若不填，默认登录态cookie domain为当前域名。

登录态Domain：对于自建账号、三方SSO跨域场景、OAuth2.0这些需要Quick BI自行维护登录态Cookie的场景，需要指定登录态Cookie (x_login_ck)的domain信息。必须是域名全称的子集。主要分为以下场景：
- 与域名全称一致。此时，登录态仅Quick BI持有。
- 是域名全称的子集，一般为域名全称的根域名。例如：域名全称为 qbi.alibaba-inc.com；登录态域名为alibaba-inc.com，那么x_login_ck的域名为.alibaba-inc.com。如果另一个和这个域名根域一致的服务，也同样会获取到x_login_ck。

页面展示设置

框架样式
- 氛围图
  - 支持使用素材或上传自定义图片。
  - 展示样式支持默认或平铺。
- 登录框
  - 展示位置支持设置居左、居中或居右。
  - 展示样式支持设置深色或浅色。
    说明
    当展示样式选择平铺时才支持设置登录框的位置和样式。
内容样式
- logo图
  支持使用素材或上传本地图片为Logo，上传成功后，显示在登录页左上角Logo。
- 标题名
  即登录页的左上角标题以及浏览器标签页的标题显示，一般为系统名称，例如Quick BI/奥运报表系统。
- 主题色：支持配置登录主题颜色。
三方渠道展示样式
- 图标组
- 按钮组
页脚：支持自定义页脚。

登录方式配置

Quick BI支持集成业界主流的标准协议，如 OAuth2.0、SAML，LDAP等。同时也提供了符合安全规范的SSO协议标准，可以适配更多企业的单点登录需求。

说明

自定义账号配置完成前，请保持Quick BI账号处于打开状态，以免造成不可登录的情况。
自定义账号配置成功且能正常登录后，您可根据需要关闭Quick BI账号。

安全设置配置

支持针对部分登录方式设置IP管控。

IP白名单设置：通过IP控制登录，仅白名单IP可访问。
应用范围：通过IP控制登录，设置IP管控的登录方式。

登录方式及说明

登录方式	说明
Quick BI账号	提供Quick BI自建账号能力，您无需第三方系统的账户系统，仅需要在Quick BI组织成员中，添加自建账号，便可以实现登录。可配置项如下：登录态有效期（秒）：主要为自建账号登录场景下，登录态Cookie的Expire的过期时间配置。`-1`表示随浏览器关闭失效； `> 0`指定失效时间，失效后重新登录。主要如下场景： `-1`：Cookie随浏览关闭而关闭。此时，登录态Cookie x_login_ck的Expires或Max-Age设置值为session。即浏览器关闭登录态Cookie自动清除时效。 `>0`：指定了Cookie的具体过期时间。例如，一天后时效，设置值为86400（单位秒）。如果需要登录态时效更长，并不随浏览器关闭而关闭，那么，登录态有效期就设置更长一点。以实际场景为准。图片验证码：选择是否开启验证码。说明图片验证码默认开启。开启后登录时需要输入验证码。定期修改密码支持按照设置的有效期定期修改密，密码有效期最大值为365天。
标准SSO	此为Quick BI自定义的登录对接协议，很多场景下，客户既没有OAuth/SAML等行业标准协议支持，又有自己的登录标准规范，为了统一协议，方便众多客户对接，因此，Quick BI制定了该协议。特点如下：两个页面（登录页、登出页/接口） & 两个接口（登录态校验、用户信息获取）；对接简单。支持同根域、跨域场景；覆盖场景全支持接口级别签名校验；更安全。支持Cookie & Session有效期设定；定义灵活具体Quick BI自建三方SSO登录协议以及流程请参见自建三方SSO协议及配置说明。
EasySSO	为提升非标登录协议对接的效率，助力企业高效完成单点登录集成，Quick BI全新打造了EasySSO登录协议。EasySSO是Quick BI自定义的一套三方SSO对接方案，主要针对客户自有账户登录系统中没有提供标准的行业登录规范（例如：OAuth2/SAML/LDAP等协议）的场景使用。具体请参见EasySSO协议及配置说明
OAuth2.0	对于已有支持 OAuth2.0 的鉴权服务器的租户，需要在原有基础上针对外部系统进行接入，从而实现单点登录以及打通企业内部员工基础信息的需求。具体请参见OAuth2.0 协议对接。
LDAP	目前仅支持的LDAP服务器为：Windows系统AD域。网络要求：LDAP服务器与独立部署的Quick BI网络需要为连通状态。具体请参见LDAP配置说明。
CAS	CAS（Central Authentication Service）协议是一种轻量级的单点登录协议，它可以实现用户一次认证结果在多个应用系统中进行共享，从而实现无缝访问。具体请参见CAS协议对接及配置说明。
SAML	该流程使用微软的Azure平台，在使用期间需要对微软的账号进行服务订阅。协议已实现在Quick BI独立部署环境中。具体请参见SAML配置说明。
阿里云RAM账号单点登录	通过阿里云RAM账号单点登录，具体请参见阿里云RAM账号单点登录。
钉钉	通过钉钉账号登录，具体请参见钉钉配置。
企业微信	通过企业微信账号登录，具体请参见企业微信配置。
飞书	通过飞书账号登录，具体请参见飞书配置。