返回 登录
1

关于用户账号和认证服务

用户账号和认证(UAA)是Cloud Foundry提供的一个Web Service,用于管理用户和OAuth2客户端。其主要作用是用作OAuth2提供者,当客户端应用程序代表Cloud Foundry用户使用时为其发布令牌。通过与登录服务器协作,它可以通过用户的Cloud Foundry凭据对其进行认证,也可以使用这些凭据(或其他)用作SSO服务。该服务为管理用户账号和注册OAuth2客户端提供端点。
Predix平台为开发人员提供UAA,作为一项用于认证其应用程序用户的服务。作为一名Predix平台的用户,通过从Cloud Foundry市场获取一个UAA实例并将其配置为认证可信用户,您可以安全访问您的应用程序。
所有Predix平台服务均需要一个UAA实例,以确保安全使用每项服务。
注:您在您的空间中创建的UAA实例的最大数量为10。作为一项最佳实践,为您的服务使用相同的UAA实例。
UAA包括以下功能:
• 通过SCIM API进行身份管理。
• 完整的OAuth 2.0授权服务器。
• 用于UAA认证的登录和登出服务。
• 满足第三方SAML身份提供者要求的SAML联合功能。
UAA服务器支持在UAA-API文件中定义的API。更多信息,请参见https://github.com/GESoftware-CF/uaa/blob/master/docs/UAA-APIs.rst
UAA部署架构
支持以下拓扑结构,以使用UAA服务:
• 用户账号和认证(UAA)服务器上的本地身份管理。
• 联合身份管理。
• 联合身份管理与使用UAA的其他身份管理。在这个拓扑结构中,根据联合身份存储设备和UAA中的设置将用户在白名单中列出。
下图显示了用户账号和认证(UAA)服务器上的本地身份管理如何进行认证。
图片描述
在这个流程中:
1. 一名管理员通过UAA中的SCIM API为用户提供服务。
2. 一名应用程序用户使用浏览器请求数据。
3. Web应用程序将授权请求发送至UAA。如果已在UAA中设置该用户,授权请求被批准,用户获得授权,令牌签发给Web 应用程序。如果数据请求已经包含了有效的令牌,无需执行这一步。
4. 网页应用程序将数据请求和JWT令牌传递给Web Services。
5. 一旦用户获得授权,数据即返回Web应用程序。
下图显示了UAA如何与联合身份管理进行集成。
图片描述
在这个流程中,用户不是使用UAA进行本地认证,而是使用联合身份存储进行认证。
下图显示了UAA与联合身份管理以及本地身份管理的集成。
图片描述
该流程展示了使用UAA服务和联合身份服务进行的认证。UAA使用SAML请求与联合身份服务进行通信。当为UAA生成一个认证请求时,UAA根据UAA和联合身份存储对用户进行检查。如果要将可认证的用户在白名单中列出,该设置非常有用。例如,如果一个组织的联合身份存储中有一个大用户集,但是他们仅希望一个用户子集可以访问服务,他们就可以使用该设置来识别用户子集。
活动概况:为了让国内开发者第一时间了解试用Predix 平台,及时跟踪了解国际工业互联网的最新技术,GE数字强调文字创新坊推出了Predix 开发者试用计划,并将提供Predix 的基础服务、微服务模块、开发工具等给有兴趣的开发者试用,试用期为3个月,这也是开发者进行工业化数字转型的第一步。需要注意的是该账号仅作开发评估目的使用,不能应用于任何商业用途,最终注册结果以邮件为准。并且GE保留对相关帐号申请、管理和使用的解释权。试用结束后,GE不保留任何开发者数据!
扫描下方二维码参与报名:
图片描述

评论