近日，ZStack Cloud 4.5.0发布，新增支持多种标准单点登录（SSO）协议。云平台现可对接OIDC/OAuth2/CAS三种协议的统一身份认证系统，使认证系统中的用户可一键免密登录云平台，大大提高了云平台的访问效率和安全等级。

ZStack Cloud 单点登录解决了什么问题？

一般而言，为支持业务正常运转，一些企业会自行维护一套身份认证系统。若企业上云，管理员需确保云平台中的用户与身份认证系统中的用户一一对应，包括身份信息、角色和权限等一系列用户信息。若使用非AD/LDAP协议的身份认证系统，管理员需在云平台中逐一创建用户，并配置相应的角色和权限，这种方式相对低效且容易出错，运维成本较高。
单点登录作为目前较为流行的企业业务整合方案，可打通多个应用系统之间的认证关卡，用户只需验证一次就可访问所有相互信任的应用系统。它类似于游乐场的“通票”，游客购买一张通票，在入口核验身份后，即可游玩通票中包含的所有项目。同理，单点登录支持用户通过一个系统验证身份后，即可通过该系统免密登录其他的应用系统。
ZStack Cloud 云平台在之前版本中已支持对接AD/LDAP身份认证系统，从4.5.0版本开始新增支持多种标准单点登录（SSO）协议，您可将相应身份认证系统（包括：OIDC/OAuth2/CAS协议认证系统）对接云平台，当用户信息同步至云平台后，即可实现云平台单点登录。

ZStack Cloud 单点登录是如何实现的？

ZStack Cloud 云平台与OIDC协议、OAuth2协议和CAS协议三种身份认证系统对接、实现单点登录的机制大同小异，本文以OIDC协议授权码模式进行介绍：

第1步

管理员将 ZStack Cloud 云平台免密登录URL配置至企业应用中心或统一门户网站后，身份认证系统中的用户通过企业应用中心或统一门户网站访问 ZStack Cloud 云平台；

第2步
ZStack Cloud 云平台重定向访问认证URI至认证系统；

第3步
认证系统判断用户是否已登录过认证系统：

若用户已登录过认证系统，跳过登录环节至第四步；

若用户未登录过认证系统，用户需手动登录；

第4步
认证系统将携带授权码code参数的认证URI重定向至 ZStack Cloud 云平台；

第5步
ZStack Cloud 云平台获取code参数，并携带该参数向认证系统发送请求获取token；

第6步
认证系统返回token；

第7步
ZStack Cloud云平台使用JWT 解析token，获取用户的信息：

若用户已存在，登录成功；

若用户不存在，ZStack Cloud自动创建新用户，登录成功。

图1：单点登录 ZStack Cloud 云平台功能原理

ZStack Cloud 单点登录有哪些优势？

ZStack Cloud 云平台支持标准的单点登录协议，因此，无论是企业购买的第三方厂商认证系统，还是自行搭建的开源认证系统，均可快速接入云平台。

易用

管理员只需在云平台UI界面配置认证参数和用户映射规则，即可对接认证系统，简单易用。

便捷

云平台对接认证系统后，用户可从管理员配置的统一入口免密登录云平台。登录云平台时，相关用户信息会自动同步至云平台，省去管理员手动配置和维护的成本。

安全

用户所有属性信息均在认证系统中维护，云平台只存储与认证系统对接时映射的属性信息，不存储包括登录密码在内的其他属性信息，进一步提升系统安全性。若员工离职，管理员既可在认证系统中禁用相应用户，也可在云平台中解绑该用户的所有角色，降低恶意攻击的可能性。
此外，云平台会保存用户的登录日志和资源操作日志，方便管理员快速定位异常用户，及时降低风险。

ZStack Cloud 单点登录如何配置？

ZStack Cloud 单点登录配置流程主要分为以下两步：

1、配置统一身份认证系统
对接统一身份认证系统前，管理员需在认证系统中按需配置用户信息，并将云平台配置为认证系统可信客户端。本文以开源Keycloak的OIDC协议为例介绍如何配置统一身份认证系统。
添加领域（realm）；

图2：添加领域
添加用户，设置用户名和密码，并按需自定义用户属性；

图3：添加用户

图4：设置用户密码

图5：自定义用户属性
将云平台添加为认证系统的可信客户端；

图6：云平台添加为认证系统的可信客户端
在添加好的云平台客户端中，配置需同步至云平台的用户属性信息。

图7：配置需同步至云平台的用户属性信息

2、对接统一身份认证系统

云平台支持通过企业管理和子账户管理两个模块对接统一身份认证系统。企业管理支持OIDC/OAuth2/CAS三种协议的认证系统，子账户管理支持OIDC协议的认证系统，两个模块均只需配置认证参数和用户映射规则即可完成对接。本文以企业管理模块为例介绍如何对接统一身份认证系统：
1）添加第三方认证服务器；

图8：添加第三方认证服务器
配置用户映射规则，配置完成后，云平台将自动生成免密登录URL；

图9：配置用户映射规则

图10：免密免密登录URL
将云平台图标与单点登录URL配置到应用中心/统一门户网站中。第三方用户点击云平台图标，即可免密登录云平台，使用云平台资源。同时，用户信息将同步至云平台。

图11：配置云平台图标与单点登录URL
图12：第三方用户免密登录至云平台

图13：用户信息同步至云平台

总结

云轴科技（ZStack）作为一家自主创新、专注产品化的云计算公司，一直秉承着打造好用的云产品、降低用户云计算使用门槛的理念。云平台单点登录功能打通了与第三方系统的认证关卡，通用性强、简单易用，可大大提高云平台的访问效率和安全等级。未来，ZStack 将坚守初心，持续推出稳定、成熟、好用的云计算产品，激发云计算的无限活力！