第三方IDaaS(宁盾AM)与AD集成并对接腾讯云-实战篇

文章转自公众号：唯爱薇o朝圣之路

前提条件：

1、安装好宁盾AM软件和UC软件

具体软件软件安装包和宁盾AM软件的License文件需要找宁盾客服申请，可以申请试用。

具体申请流程详见宁盾官网：http://www.nington.com/

2、网络结构如下：

网络结构—–internet—–>FW（NAT）——[AM\UC]主机端口都已经映射好了的

3、宁盾AM与UC软件版本一致,且需要在6.8.6+版本以上，否则会有问题。

——————————————————————————————————-

为什么选择宁盾？

Tip：关于为什么选择宁盾，这是一家在安全认证和零信任安全方案方面有丰富行业经验的公司，最近又获得了腾讯的加持，最主要的还是配置能力和知识要求不高，还有比较好的售后支持！

特别是零信任网络和SSO登录这两块是我特别看好的，如果用免费方案你可能在SSO这一块容易搞定，但是零信任网络与营销型网络设计方案这一块无法很好的集成，这对于一家做联锁零售经营或者机场等大型商业运营体而言，统一的营销网络几乎是必备的需求。

宁盾SSO产品架构

闲篇少扯，我们来看宁盾SSO系统的总体架构设计

宁盾产品是以站点来做为配置单位的，站点是多租户设计的一种模式，所有的配置都是基于某个站点的，受到License的限制。

安装过程

下载对应的AM与UC的exe文件，点安装，下一步，下一步到结束，与安装普通软件无异，非常简单，记得选一个合适的目录安装

软件配置过程

一、申请license

添加站点提示没有授权！

提交申请SN的信息名称：

获得宁盾授权码：

点击增加授权，填入授权码保存后，如图所示！

由于AM和UC安装在同一台机器上所以可以如图所示，如果不在同一台机器上请填写对应的内网地址或hostname

将共享密码记录下来，需要在UC的软件配置文件中使用：

616a07c7-46fc-4c8f-aab5-65659afabf58

找到UC的安装目录，本实验为：

D:\Program Files\Ningdun\DKEY UserCenter\local

用编辑器打开”defaultApp.conf”文件

修改

app.am.tenant.id app.am.tenant.name

和

app.am.tenant.sharedSecret

将其修改为：

app.am.tenant.id=c7ef1be1-3e4c-4d35-8ec9-8aeb2174aec4

#app.am.tenant.name=”VloveV”

#目前新版本只认app.am.tenant.id，并且配置文件名为:

#D:\Program Files\Ningdun\DKEY UserCenter\local\defaultApp.conf

和

app.am.tenant.sharedSecret=616a07c7-46fc-4c8f-aab5-65659afabf58

结果如图：

添加如图所示”唯爱薇o朝圣之路“站点

测试UC和AM连通情况:

在这里设置UC的端口7080[http]和7443[https]都可以

测试AM与UC的通信情况

将登录过期时间改成3天

再刷新UC登录页面

配置已经生效

添加本地数据源

添加本地用户组local

添加本地用户vlovev_cn

到此宁盾AM和UC软件已经安装调试完毕！

Tip:

特别要注意的是，AM和UC软件的小版本，必须要严格对应，比如：AM的版本为AM_x.x.9，那么UC的版本也应该是UC_x.x.9,否则可能会带来一些版本兼容问题。

添加外部数据源

添加外部数据源信息,如果想减少同步时间间隔可以多添加几个同步时间点。

可以手动同步外部数据源

Tip:如果想要在宁盾AM添加账号并同步至外部数据源，前提必须开启LDAPS，并设置允许写入

在外部数据源中添加用户

同步出错的情况

需要调整工号所映射的外部数据源的属性值，在AD中为employeeNumber属性

也可以通过Excel模板的方式批量导入用户

在外部数据源中确定用户是否创建成功

由于默认只开启了本地用户登录UC，如果外部认证源用户登录UC需要在双因素认证中先开启外部认证源

开启后如图所示：

外部用户登录UC后如果所示

由于没有应用创建所以里面的内容为空

宁盾SSO配置过程

我们先来创建一个腾讯云的应用

前提条件：

1、从腾讯云账号中获取SSO的SAML 服务提供商元数据 URL

参考链接地址：

https://cloud.tencent.com/document/product/598/30286

https://cloud.tencent.com/document/product/598/42702

https://cloud.tencent.com/document/product/598/37658

首先，在应用中心添加应用Tencent_EDU_VLOVEV_CN

先不用管

SSO URL (Assertion Consumer Service)

Audience (SP Entity ID)

Access URL

等配置

先生成TencentMetaData.xml文件内容

将其保存到TencentMetaData.xml文件中

其次，创建好腾讯云账号，并创建新的身份提供商

点ningdun.vlovev.cn到详情页可以看到登录链接：https://cloud.tencent.com/login/forwardIdp/100019261647/ningdun.vlovev.cn

说明：

如果您的腾讯云账号所在站点为中国站，请按照如下信息进行配置：

Single sign on URL：https://cloud.tencent.com/login/saml

Audience URL(SP Entity ID)：cloud.tencent.com

如果您的腾讯云账号所在站点为 International ，请按照如下信息进行配置：

Single sign on URL：https://intl.cloud.tencent.com/login/saml

Audience URL(SP Entity ID)：intl.cloud.tencent.com

再次，需新建”角色”（EDU_VLOVEV_CN_ADMIN 和 EDU_VLOVEV_CN_READONLY）,角色载体选择刚刚创建的”身分提供商”，并且各自分配好权限策略管理员或只读权限

最后，拿到腾讯云的三个关键信息：

1、AccountID(腾讯云账号ID)2、RoleName(CAM角色名称)3、ProviderName(身分提供产名称)

为接下来的配置做好准备。

配置好腾讯云SAML2.0

添加作用域用户

在没有映射用户之前我们登录试一下

报SAML响应无Roles属性的ERROR

并在宁盾AM的外部用户管理中添加应用用户映射

仍然报同样的错误

添加用户ROLE

qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_ADMIN

qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn

qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_READONLY

qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn

关键配置：

1.SSO URL (Assertion Consumer Service)

https://cloud.tencent.com/login/saml

2.Audience (SP Entity ID)

cloud.tencent.com

3.Custom Attribute:

Key=https://cloud.tencent.com/SAML/Attributes/RoleSessionName Value=user.loginName

5.Extra Attribute:

Key=https://cloud.tencent.com/SAML/Attributes/Role

Value=qcs::cam::uin/{AccountID}:roleName/{RoleName},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName}

上边{AccountID} 替换为您的腾讯云帐户 ID，可前往账号信息 – 控制台查看。

{RoleName}替换您在腾讯云为身份提供商所创建的角色名称（单击查看如何在腾讯云为身份提供商创建的角色），角色名称可前往角色 – 控制台查看，如需要添加更多可按照该格式添加：qcs::cam::uin/{AccountID}:roleName/{RoleName} ，以 ; 隔开。
{ProviderName} 替换您在腾讯云创建的 SAML 身份提供商名称，可前往身份提供商 – 控制台查看。

qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_ADMIN,qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn
qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_READONLY,qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn

从UC的应用Portal界面登录到腾讯云控制台

跳转到腾讯云基于角色的控制台

将配置换成：

qcs::cam::uin/100019261647:roleName/EDU_VLOVEV_CN_READONLY,qcs::cam::uin/100019261647:saml-provider/ningdun.vlovev.cn

可以发现登录后获取的权限已经改变换成了EDU_VLOVEV_CN_READONLY角色

结语：

目前宁盾已经支持180多家云商或者SaaS服务商的应用接入，不懂的大家可以自行咨询

来源：freebuf.com 2021-05-31 14:09:45 by: 宁盾nington

文章版权归作者所有，未经允许请勿转载。

THE END