将应用程序配置为使用您的身份验证提供方。SystemLink Enterprise使用OpenID Connect协议验证用户身份。

开始之前,请将SystemLink Enterprise注册为您的身份验证提供方的客户端。有关具体注册过程,请参阅您的身份验证提供方的文档。使用应用程序的UI主机名进行注册。
注册后,您应获得应用程序的客户端ID客户端密钥值。您可能还会有JSON Web密钥集(JWKS),具体取决于您的提供方。您需要使用这些信息以及身份验证提供方的URL来配置SystemLink Enterprise。
  1. 打开systemlink-values.yaml
  2. webserver.oidc.issuer设置为您的身份验证提供方的URL,以下URL则用于配置提供程序的登录重定向:[protocol]://[ui-hostname]/oidc/callback
  3. 将以下参数设置为您在注册时收到的值。
    • webserver.secrets.oidc.clientId
    • webserver.secrets.oidc.clientSecret
    • webserver.secrets.oidc.jwks
    备注 如果未使用Helm来管理密钥,则必须手动配置OpenID Connect密钥。
  4. 可选: 配置webserver.oidc.scope值,以选择 SystemLink Enterprise将请求的OpenID Connect范围。默认状态下,SystemLink Enterprise请求openidemailprofile范围。openid范围为必填项。信息电子邮件范围用于在UI中填充用户详细信息。在应用程序中分配用户角色时,可使用其他范围。请查阅您的身份验证提供方的文档以查看可用的范围。
    备注 包括offline_access,允许用户在https://<systemlink-host>/oidc/user-info上查看用户声明。可使用该方法确保设置OIDC声明映射时,SystemLink可用相关的声明。
  5. 确保身份验证提供方通过每个用户的身份令牌最少返回以下声明。
    • email
    • given_name
    • family_name
  6. 可选: 配置webserver.oidc.userIDClaim值。该值是SystemLink Enterprise用于识别用户的OpenID Connect声明。默认状态下,SystemLink Enterprise使用用户的电子邮件地址。
    备注 如果您在使用产品后更改此值,则所有用户权限都将丢失。
  7. 可选: 配置SystemLink Enterprise将用作指定用户的用户名的OpenID Connect声明。默认状态下,这属于name属性。此设置仅影响用户在UI中的显示方式。
  8. 可选: 集群可能需要代理服务器才能访问OpenID Connect身份验证提供程序。在这种情况下,请将webserver.proxy.authority设置为代理服务器的主机名和端口。
  9. 可选: 如果代理服务器需要凭证,请取消注释webserver.proxy.secretname
  10. 可选: systemlink-secrets.yaml中配置webserver.secrets.proxy.usernamewebserver.secrets.proxy.password或者手动部署这些密钥。