Quick BI的登录认证能力,面向企业提供统一访问控制与安全管理服务,多种安全登录认证方式和功能,满足不同企业内控外审的安全诉求的同时,帮助企业构建个性化的登录门户。独立部署环境支持多账号登录,且登录类型支持自定义,本文为您介绍登录配置页说明。
功能概述
Quick BI的登录认证配备了丰富的安全登录认证选项,可以满足不同企业对内部管控和外部审计的安全要求,帮助企业打造独特的登录门户,为企业提供全方位的统一访问控制和安全管理服务。
应用场景
企业使用多产品系统
企业需要处理大量数据,而且常常依赖多个软件和平台来开展日常的数据运营。因此,他们需要一个统一的登录入口,以便中央化地管理和控制对报表的访问权限。
企业文化透传
企业往往需要根据自己的品牌形象和文化,定制化设计企业使用的各项产品登录页面,以便在用户登录时也能随时感受到企业的文化氛围。
行业安全合规要求
政企、金融等有严格的合规性要求的行业客户,往往需要建立统一的安全登录门户来确保对BI工具的安全访问,包括生成审计日志和合规性报告,以遵守监管机构的规定。
主要优势
可自定义的登录策略
Quick BI为不同域名量身打造灵活的登录环境,支持多样化的认证方式,每一种登录方法均可根据企业需求定制参数,实现个性化配置,从而帮助企业以更高效、更个性化的方式管理和使用数据资源。
个性化企业登录门户
Quick BI支持为每个域名定制独特的企业登录门户,提供了自定义背景、LOGO、登录方式等丰富元素的支持,在登录门户中也能透传企业文化。
增强安全防护
Quick BI通过提供基于登录方式的IP白名单管理机制,为企业打造了坚固的安全防线。此外,通过采用多重密码验证机制,有效增强了抵御暴力破解攻击的能力,确保企业数据的安全性。
多协议高效对接
Quick BI的单点登录(SSO)集成兼容行业内广泛认可的OAuth2、LDAP、SAML和CAS等行业标准登录协议,确保能与各类企业身份认证平台无缝对接。
对于未使用行业标准登录协议的企业,Quick BI还提供了自主研发的标准SSO和EasySSO协议。其中,EasySSO协议能帮助企业在1天内快速完成登录集成对接,极大提高了集成效率。
使用限制
仅独立部署支持自定义企业登录门户。
自定义登录配置页
Quick BI独立部署环境支持多账号体系登录&登录类型自定义,并提供自定义登录配置页。相应的配置为高危操作,需要使用登录认证超管账号进行配置。若该账号无权限登录或需要添加其他超管账号,请联系运维人员获取。
自定义登录配置仅在Quick BI新登录层中支持,使用前请联系运维人员确认您当前的Quick BI版本是否为新登录层。
登录配置页入口:开放平台->登录认证。
支持特性如下:
多域名支持:一套环境,支持多个域名下不同登录。
每种域名,支持自定义企业登录门户,包括背景、LOGO、登录类型等配置。
每种登录方式,支持参数页面自定义配置。
操作入口
您可以按照图示方式进入登录认证配置界面添加新的登录策略。
您也可选择已有策略进行编辑。
若账号无权限登录时,会出现以下界面,提示“页面涉及系统重要配置,仅登录认证超级管理员可操作”。
请在确定需要添加的登录认证超级管理员后,联系运维同学去添加权限。
配置项说明
策略信息配置
策略信息配置项:
配置项 | 是否必选 | 说明 | |
策略唯一标识 | 是 | 当前登录策略的唯一标记,全局唯一,最大255字符。 说明 策略唯一标识在添加后,无法再次修改。 | |
策略描述 | 否 | 策略描述,最大512字符。 | |
配置策略 说明 Quick BI访问时,会基于当前策略中的『配置策略』所设定的规则进行路由命中,仅当策略命中后,对应的登录方式以及自定义配置页信息才会生效。 | 锚点 | 是 | 登录策略的作用位置,当前不可修改,默认为Domain,即域名。即解析请求的域名,按照操作符和值进行匹配。 |
操作符 | 是 | 域名(锚点)配置的操作符。支持:- EQUAL,等于,即域名完全相等。 - ENDWITH,结尾匹配,即域名以指定值结尾。 - STARTWITH,开头匹配,即域名以指定值开头。 - CONTAIN, 中间匹配,即域名中间包含指定值。 - NOTNULL, 不为空,即域名不为空,则通配所有的请求 | |
值 | 是 | 域名匹配值。 如果服务请求以 | |
登录态Domain | 否 | 登录态
| |
登录态Domain:对于自建账号、三方SSO跨域场景、OAuth2.0这些需要Quick BI自行维护登录态Cookie的场景,需要指定登录态
Cookie (x_login_ck)的domain信息。必须是域名全称的子集。主要分为以下场景:与域名全称一致。此时,登录态仅Quick BI持有。
是域名全称的子集,一般为域名全称的根域名。例如:域名全称为
qbi.alibaba-inc.com;登录态域名为alibaba-inc.com,那么x_login_ck的域名为.alibaba-inc.com。如果另一个和这个域名根域一致的服务,也同样会获取到x_login_ck。
页面展示设置
框架样式
氛围图
支持使用素材或上传自定义图片。
展示样式支持默认或平铺。
登录框
展示位置支持设置居左、居中或居右。
展示样式支持设置深色或浅色。
说明当展示样式选择平铺时才支持设置登录框的位置和样式。
内容样式
logo图
支持使用素材或上传本地图片为Logo,上传成功后,显示在登录页左上角Logo。
标题名
即登录页的左上角标题以及浏览器标签页的标题显示,一般为系统名称,例如
Quick BI/奥运报表系统。主题色:支持配置登录主题颜色。
三方渠道展示样式
图标组
按钮组
页脚:支持自定义页脚。
登录方式配置
Quick BI支持集成业界主流的标准协议,如 OAuth2.0、SAML,LDAP等。同时也提供了符合安全规范的SSO协议标准,可以适配更多企业的单点登录需求。
自定义账号配置完成前,请保持Quick BI账号处于打开状态,以免造成不可登录的情况。
自定义账号配置成功且能正常登录后,您可根据需要关闭Quick BI账号。
安全设置配置
支持针对部分登录方式设置IP管控。
IP白名单设置:通过IP控制登录,仅白名单IP可访问。
应用范围:通过IP控制登录,设置IP管控的登录方式。
域名管控:通过域名管控,限制非超级管理员用户直接访问Quick BI系统。
您可以在此输入需要定向跳转到的目标地址,后续在非超管用户通过域名访问Quick BI系统时,不会直接进入Quick BI页面,而是会被重新定向到在此处预先配置的目标地址。
说明支持在目标跳转地址中使用占位符。在实际跳转时,占位符将会被替换为用户原本访问的Quick BI地址信息,并作为参数传递给目标地址。目标地址即可接收并解析Quick BI页面的相关配置信息。
例如:配置的目标跳转地址为
https://example.com/target?originalUrl={originalUrl},此处的{originalUrl}即为占位符,在实际跳转过程中,将会被替换为用户原本访问的Quick BI地址。域名访问目标跳转地址成功绑定后,控制范围为SSO认证后的各子系统。
登录方式及说明
在配置登录认证时,支持配置多个登录策略,每个登录策略中可包含多种登录方式。例如,可以在一个登录策略中同时配置OAuth2.0、EasySSO和SAML等多种不同协议的登录方式。
登录方式 | 说明 |
Quick BI账号 | 提供Quick BI自建账号能力,您无需第三方系统的账户系统,仅需要在Quick BI组织成员中,添加自建账号,便可以实现登录。具体请参见内置账号配置说明。 |
标准SSO | 此为Quick BI自定义的登录对接协议,很多场景下,客户既没有OAuth/SAML等行业标准协议支持,又有自己的登录标准规范,为了统一协议,方便众多客户对接,因此,Quick BI制定了该协议。特点如下:
具体Quick BI自建三方SSO登录协议以及流程请参见自建三方SSO协议及配置说明。 |
EasySSO | 为提升非标登录协议对接的效率,助力企业高效完成单点登录集成,Quick BI全新打造了EasySSO登录协议。EasySSO是Quick BI自定义的一套三方SSO对接方案,主要针对客户自有账户登录系统中没有提供标准的行业登录规范(例如:OAuth2/SAML/LDAP等协议)的场景使用。具体请参见EasySSO协议及配置说明 |
OAuth2.0 | 对于已有支持 OAuth2.0 的鉴权服务器的租户,需要在原有基础上针对外部系统进行接入,从而实现单点登录以及打通企业内部员工基础信息的需求。具体请参见OAuth2.0 协议对接。 |
OIDC | OpenID Connect(OIDC)是建立在 OAuth 2.0 协议之上的身份认证和授权协议,是OAuth2.0的扩展,属于比较主流的登录协议。对于已有支持OIDC的鉴权服务器的租户,需要在原有基础上针对外部系统进行接入,从而实现单点登录以及打通企业内部员工基础信息的需求。 具体请参见OIDC协议对接及配置说明。 |
LDAP | 目前仅支持的LDAP服务器为:Windows系统AD域。 网络要求:LDAP服务器与独立部署的Quick BI网络需要为连通状态。具体请参见LDAP配置说明。 |
CAS | CAS(Central Authentication Service)协议是一种轻量级的单点登录协议,它可以实现用户一次认证结果在多个应用系统中进行共享,从而实现无缝访问。具体请参见CAS协议对接及配置说明。 |
SAML | 该流程使用微软的Azure平台,在使用期间需要对微软的账号进行服务订阅。协议已实现在Quick BI独立部署环境中。具体请参见SAML配置说明。 |
阿里云RAM账号单点登录 | 通过阿里云RAM账号单点登录,具体请参见阿里云RAM账号单点登录。 |
钉钉 | 通过钉钉账号登录,具体请参见钉钉配置。 |
企业微信 | 通过企业微信账号登录,具体请参见企业微信配置。 |
飞书 | 通过飞书账号登录,具体请参见飞书配置。 |
插件登录 | 针对需要使用非标准化登录方式登录Quick BI的场景,Quick BI在登录层引入了插件化开发的理念,实现将身份验证、登出等流程对外开放,允许外部系统根据需求进行定制和扩展。 具体请参见插件登录对接及配置说明。 |
常见问题
配置自定义登录门户需要什么权限?
在Quick BI独立部署环境配置自定义登录门户时,需要使用登录认证超管账号(通常默认是quickBiAdmin)进行配置。如果您的账号没有权限,请联系运维人员添加。
独立部署是否支持多人同时登录同一账号?
支持。依次单击进入配置面板 -> 组织信息 -> 超管后台 -> 登录系统管理 -> 多设备登录拦截配置,开启允许重复登录的配置项后,系统将支持同一账号在同一时间登录多个设备,此时登录人数不受限制。若关闭此配置项,同一账号在同一时间仅允许登录一个设备,新登录成功后,之前的登录将会失效。
独立部署登录有效时间最大可以设置多少?
登录有效期默认为86400秒,可根据业务需求在登录设置中配置一个合理的登录有效期,如果有效期设置为-1,则表示登录会随浏览器的关闭而失效。
是不是所有Quick BI版本都支持自定义企业登录这个功能?
自定义企业登录门户功能仅适用于Quick BI的独立部署环境,公共云环境不支持,此外,请确保您的Quick BI实例使用的是新登录层。具体部署版本情况请与产品运维人员确认。
“策略信息配置”中的“配置策略”是做什么用的?
“配置策略”主要用于定义当前登录门户配置生效的条件。它通过匹配用户访问Quick BI时所使用的域名(锚点为Domain),并根据设定的操作符(如等于、开头包含等)和值,来决定是否应用当前策略下的页面展示、登录方式和安全设置。这使得一套Quick BI能够为不同的访问域名提供不同的登录体验。
Quick BI退出登录时耗时很久无法正常退出是什么原因?
退出登录时,会调用高德地图服务的IP定位地址接口,此时需要Quick BI服务的网络与高德服务restapi.amap.com的网络打通,如果网络存在限制而无法连接,则接口调用将会失败,退出登录也将会失败。
解决方案:
打通Quick BI服务与restapi.amap.com高德服务的网络。
使用超管账号(默认是quickBiAdmin)登录访问超管后台运维中心,在登录系统管理配置-登出配置项中,关闭获取登出IP位置的配置项。
