OAuth2统一身份认证
简介
Janusec Application Gateway支持如下身份认证:
LDAP
CAS 2.0
企业微信扫码登录
钉钉扫码登录
飞书扫码登录
并同时作用于管理后台,以及员工访问内网应用。
配置
如需启用,请在配置文件config.json中开启:
"oauth": {
"enabled": true,
"provider": "wxwork",
...
}
上述provider中,ldap表示LDAP认证,cas2表示CAS 2.0认证,wxwork表示企业微信扫码登录,dingtalk表示钉钉扫码登录,feishu表示飞书扫码登录。
应用如何获取用户身份
Janusec认证通过后,会在HTTP请求的头部添加两行:
X-Auth-Token: Access-Token (备注: 0.9.15使用X-Auth-Token替换之前的Authorization)
X-Auth-User: UserID
应用不需要修改即可使用,也可以通过X-Auth-User获取用户身份(企业微信/钉钉/飞书),或者借助Access-Token(企业微信/飞书)获取进一步的信息。
LDAP配置
在配置文件的"ldap"字段:
登录界面显示:
“display_name”: “Login with LDAP”,
LDAP登录入口(配置一个常用的应用域名作为网关的访问域名,并需要修改下面的http/https及域名,后面的路径不变,也不带端口号):
“entrance”: “https://your_domain.com/ldap/login”,
LDAP服务器地址(格式采用 域名:端口 ,如果启用TLS,请注意修改端口号):
“address”: “ldap_domain:389”
LDAP DN区分名称(需要根据实际DN修改,{uid}请保持不变):
“dn”: “uid={uid},ou=People,dc=janusec,dc=com”,
是否启用TLS加密传输(如果启用,请一并检查LDAP服务器端口,默认636):
“using_tls”: false
CAS 2.0
在配置文件的"cas2"字段:
// 显示在登录界面
“display_name”: “Login with CAS 2.0”,
// CAS服务器入口,使用/cas结尾
“entrance”: “https://cas_server/cas”,
// 回调地址,使用网关域名,以/oauth/cas2结尾,不带端口号
企业微信配置
在配置文件的"wxwork"字段:
登录界面显示:
“display_name”: “Login with WeChat Work”,
回调地址(需要同时在该应用"开发者接口"一栏配置"授权回调域”,配置一个常用的应用域名作为网关的访问域名,并需要修改下面的http/https及域名,后面的路径不变,也不带端口号):
“callback”: “https://your_domain.com/oauth/wxwork”,
企业ID (在https://work.weixin.qq.com/wework_admin/frame#profile 下方可看到企业ID信息):
“corpid”: “wwd03be1f8”,
AgentID (在https://work.weixin.qq.com/wework_admin/frame#apps 创建名为JANUSEC的自建应用即可看到):
“agentid”: “1000002”,
corpsecret (即上述自建应用的Secret,请据实修改):
“corpsecret”: “BgZtz_hssdZV5em-AyGhOgLlm18rU_NdZI”
钉钉配置
在配置文件的"dingtalk"字段:
登录界面显示:
“display_name”: “Login with DingTalk”,
回调地址(配置一个常用的应用域名作为网关的访问域名,并需要修改下面的http/https及域名,后面的路径不变,也不带端口号):
“callback”: “https://your_domain.com/oauth/dingtalk”,
请在钉钉开放平台注册一个自建应用,获取下面的信息。
“appid”: “dingoa8xvc”,
“appsecret”: “crrALdXUIj4T0zBekYh4u9sU_T1GZT”
appsecret即上述自建应用的Secret,请据实修改。
飞书配置
需要在飞书开放平台注册应用(比如名称JANUSEC)并经企业管理员审核通过。
需要在飞书开放平台后台配置"安全域名"-“重定向URL”,配置为"https://your_domain.com/oauth/feishu"
在配置文件的"feishu"字段:
登录界面显示:
“display_name”: “Login with Feishu”,
回调地址(配置一个常用的应用域名作为网关的访问域名,并需要修改下面的http/https及域名,后面的路径不变,也不带端口号):
“callback”: “https://your_domain.com/oauth/dingtalk”,
请在飞书开放平台注册一个自建应用,获取下面的信息。
“appid”: “cli_9ef21d00e”,
“appsecret”: “ihUBspRAG1PtNdDLUZ”
退出登录
后端网站只需要添加一个退出链接 /oauth/logout ,用户点击后即可实现退出效果。
原理介绍与演示
多节点注意事项
OAuth2需要使用回调域名(在config.json中callback配置),这里请选定并配置一个域名,可以是任意已配置应用中的域名(不包括单独为主节点申请的域名),假设为www.your_domain.com 。
但需要注意的是,DNS解析应确保其对所有应用的解析,在同一个办公场地,均指向同一个网关。如果员工访问的应用,跟回调域名指向不同的网关地址,则OAuth2将不可用。