Quick BI的登錄認證能力,面向企業提供統一訪問控制與安全管理服務,多種安全登錄認證方式和功能,滿足不同企業內控外審的安全訴求的同時,幫助企業構建個性化的登錄門戶。獨立部署環境支持多賬號登錄,且登錄類型支持自定義,本文為您介紹登錄配置頁說明。
自定義登錄配置頁
Quick BI獨立部署環境支持多賬號體系登錄&登錄類型自定義,并提供自定義登錄配置頁。相應的配置為高危操作,需要使用登錄認證超管賬號進行配置,一般默認為quickBiAdmin賬號。若該賬號無權限登錄或需要添加其他超管賬號,請聯系運維人員獲取。
自定義登錄配置僅在Quick BI新登錄層中支持,使用前請聯系運維人員確認您當前的Quick BI版本是否為新登錄層。
登錄配置頁入口:開放平臺->登錄認證。
支持特性如下:
多域名支持:一套環境,支持多個域名下不同登錄。
每種域名,支持自定義企業登錄門戶,包括背景、LOGO、登錄類型等配置。
每種登錄方式,支持參數頁面自定義配置。
操作入口
您可以按照圖示方式進入登錄認證配置界面添加新的登錄策略。
您也可選擇已有策略進行編輯。
若賬號無權限登錄時,會出現以下界面,提示“無權限禁止訪問”。
請在確定需要添加的登錄認證超級管理員后,聯系運維同學去添加權限。
配置項說明
策略信息配置
策略信息配置項:
配置項 | 是否必選 | 說明 | |
策略唯一標識 | 是 | 當前登錄策略的唯一標記,全局唯一,最大255字符。 說明 策略唯一標識在添加后,無法再次修改。 | |
策略描述 | 否 | 策略描述,最大512字符。 | |
配置策略 說明 Quick BI訪問時,會基于當前策略中的『配置策略』所設定的規則進行路由命中,僅當策略命中后,對應的登錄方式以及自定義配置頁信息才會生效。 | 錨點 | 是 | 登錄策略的作用位置,當前不可修改,默認為Domain,即域名。即解析請求的域名,按照操作符和值進行匹配。 |
操作符 | 是 | 域名(錨點)配置的操作符。支持:- EQUAL,等于,即域名完全相等。 - ENDWITH,結尾匹配,即域名以指定值結尾。 - STARTWITH,開頭匹配,即域名以指定值開頭。 - CONTAIN, 中間匹配,即域名中間包含指定值。 - NOTNULL, 不為空,即域名不為空,則通配所有的請求 | |
值 | 是 | 域名匹配值。 如果服務請求以 | |
登錄態Domain | 否 | 登錄態
| |
登錄態Domain:對于自建賬號、三方SSO跨域場景、OAuth2.0這些需要Quick BI自行維護登錄態Cookie的場景,需要指定登錄態
Cookie (x_login_ck)的domain信息。必須是域名全稱的子集。主要分為以下場景:與域名全稱一致。此時,登錄態僅Quick BI持有。
是域名全稱的子集,一般為域名全稱的根域名。例如:域名全稱為
qbi.alibaba-inc.com;登錄態域名為alibaba-inc.com,那么x_login_ck的域名為.alibaba-inc.com。如果另一個和這個域名根域一致的服務,也同樣會獲取到x_login_ck。
頁面展示設置
框架樣式
氛圍圖
支持使用素材或上傳自定義圖片。
展示樣式支持默認或平鋪。
登錄框
展示位置支持設置居左、居中或居右。
展示樣式支持設置深色或淺色。
說明當展示樣式選擇平鋪時才支持設置登錄框的位置和樣式。
內容樣式
logo圖
支持使用素材或上傳本地圖片為Logo,上傳成功后,顯示在登錄頁左上角Logo。
標題名
即登錄頁的左上角標題以及瀏覽器標簽頁的標題顯示,一般為系統名稱,例如
Quick BI/奧運報表系統。主題色:支持配置登錄主題顏色。
三方渠道展示樣式
圖標組
按鈕組
頁腳:支持自定義頁腳。
登錄方式配置
Quick BI支持集成業界主流的標準協議,如 OAuth2.0、SAML,LDAP等。同時也提供了符合安全規范的SSO協議標準,可以適配更多企業的單點登錄需求。
自定義賬號配置完成前,請保持Quick BI賬號處于打開狀態,以免造成不可登錄的情況。
自定義賬號配置成功且能正常登錄后,您可根據需要關閉Quick BI賬號。
安全設置配置
支持針對部分登錄方式設置IP管控。
IP白名單設置:通過IP控制登錄,僅白名單IP可訪問。
應用范圍:通過IP控制登錄,設置IP管控的登錄方式。
登錄方式及說明
登錄方式 | 說明 |
Quick BI賬號 | 提供Quick BI自建賬號能力,您無需第三方系統的賬戶系統,僅需要在Quick BI組織成員中,添加自建賬號,便可以實現登錄。具體請參見內置賬號配置說明。 |
標準SSO | 此為Quick BI自定義的登錄對接協議,很多場景下,客戶既沒有OAuth/SAML等行業標準協議支持,又有自己的登錄標準規范,為了統一協議,方便眾多客戶對接,因此,Quick BI制定了該協議。特點如下:
具體Quick BI自建三方SSO登錄協議以及流程請參見自建三方SSO協議及配置說明。 |
EasySSO | 為提升非標登錄協議對接的效率,助力企業高效完成單點登錄集成,Quick BI全新打造了EasySSO登錄協議。EasySSO是Quick BI自定義的一套三方SSO對接方案,主要針對客戶自有賬戶登錄系統中沒有提供標準的行業登錄規范(例如:OAuth2/SAML/LDAP等協議)的場景使用。具體請參見EasySSO協議及配置說明 |
OAuth2.0 | 對于已有支持 OAuth2.0 的鑒權服務器的租戶,需要在原有基礎上針對外部系統進行接入,從而實現單點登錄以及打通企業內部員工基礎信息的需求。具體請參見OAuth2.0 協議對接。 |
OIDC | OpenID Connect(OIDC)是建立在 OAuth 2.0 協議之上的身份認證和授權協議,是OAuth2.0的擴展,屬于比較主流的登錄協議。對于已有支持OIDC的鑒權服務器的租戶,需要在原有基礎上針對外部系統進行接入,從而實現單點登錄以及打通企業內部員工基礎信息的需求。 具體請參見OIDC協議對接及配置說明。 |
LDAP | 目前僅支持的LDAP服務器為:Windows系統AD域。 網絡要求:LDAP服務器與獨立部署的Quick BI網絡需要為連通狀態。具體請參見LDAP配置說明。 |
CAS | CAS(Central Authentication Service)協議是一種輕量級的單點登錄協議,它可以實現用戶一次認證結果在多個應用系統中進行共享,從而實現無縫訪問。具體請參見CAS協議對接及配置說明。 |
SAML | 該流程使用微軟的Azure平臺,在使用期間需要對微軟的賬號進行服務訂閱。協議已實現在Quick BI獨立部署環境中。具體請參見SAML配置說明。 |
阿里云RAM賬號單點登錄 | 通過阿里云RAM賬號單點登錄,具體請參見阿里云RAM賬號單點登錄。 |
釘釘 | 通過釘釘賬號登錄,具體請參見釘釘配置。 |
企業微信 | 通過企業微信賬號登錄,具體請參見企業微信配置。 |
飛書 | 通過飛書賬號登錄,具體請參見飛書配置。 |
插件登錄 | 針對需要使用非標準化登錄方式登錄Quick BI的場景,Quick BI在登錄層引入了插件化開發的理念,實現將身份驗證、登出等流程對外開放,允許外部系統根據需求進行定制和擴展。 具體請參見插件登錄對接及配置說明。 |