WISE-PaaS動態(tài)播報

　　研華WISE-PaaS工業(yè)物聯(lián)網(wǎng)云平臺在不斷地升級完善中，“研華智能地球”每周四為您播報其更新動態(tài)~

　　隨著云計算的飛速發(fā)展，越來越多的云應用、云服務充斥在日常的工作當中。

　　人們在享受信息化帶來的便捷的同時，也遭受著應用系統(tǒng)反復登錄，工作入口來回切換，數(shù)據(jù)消息接收不及時等諸多煩惱。伴隨著業(yè)務系統(tǒng)數(shù)量的增加，用戶會覺得自己身陷于越來越多的用戶賬號和密碼需要記錄，以便于使用各種云服務。

　　隨著互聯(lián)網(wǎng)的不斷發(fā)展，單點登錄(Single Sign On，簡稱SSO)，獲得了廣泛的認可和應用。SSO是指在多個系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。

　　研華的WISE-PaaS工業(yè)物聯(lián)網(wǎng)云平臺，就已為用戶提供單點登錄(SSO)服務。

　　研華WISE-PaaS提供的單點登錄機制(SSO)，用于管理云平臺賬戶下資源訪問權限。

　　? 為何要使用SSO?

　　● 方便用戶，單一登錄機制

　　使用云平臺SaaS服務的用戶僅需使用單一賬號進行登錄，即可取得所有被授權的應用程序的訪問權限，改善用戶使用應用系統(tǒng)的體驗。

　　● 方便管理者，優(yōu)化維護管理

　　系統(tǒng)管理員只需要維護一套統(tǒng)一的用戶賬號，優(yōu)化管理的同時，減少了管理漏洞。

　　● 方便開發(fā)者，簡化應用系統(tǒng)開發(fā)

　　方便開發(fā)者：云平臺SaaS開發(fā)者通過整合SSO，無須額外開發(fā)帳戶管理系統(tǒng)，有效節(jié)省了開發(fā)時間。

　　? SSO具備以下特性：

　　● 簡潔的特性

　　因為格式為JSON，相較于XML，JWTs可以作為一個URL、POST參數(shù)，或在HTTP Header內(nèi)發(fā)送。此外，較小的size傳輸速度比較快不占用帶寬。

　　● 獨立的特性

　　憑證內(nèi)容包含關于用戶的信息，可以減少數(shù)據(jù)庫查詢來驗證用戶信息。

　　● 認證便利的特性

　　一旦使用者登錄，每個后續(xù)請求都將憑證帶在請求的表頭，后端服務器收到請求即允許使用者存取該憑證 (token) 允許的路徑、服務與資源。如今來說，單點登錄是一個廣泛使用JWT的特色，因為它簡潔，又能夠被容易地跨不同領域使用。

　　● 前后端統(tǒng)一支持的特性

　　同時支持前端網(wǎng)頁(Frontend)與后端(Native)應用單點登錄功能，確保最佳用戶體驗。

　　● 提供完整的Restful API

　　提供完整的Restful API供開發(fā)者整合，提高整合效率。

　　? SSO提供如下功能：

　　1、 提供用戶注冊、用戶管理及用戶鑒別功能

　　注冊賬號需標識賬號角色，且對應Cloud Foundry不同權限。通過使用Cloud Foundry的User Account and Authentication (UAA)對用戶進行身份鑒別。

　　2、 提供保護機制防范惡意嘗試

　　WISE-PaaS工業(yè)物聯(lián)網(wǎng)云平臺目前要求提供登錄功能的環(huán)境，均已整合SSO，提供身份驗證功能。

　　● 當用戶輸入錯誤的憑證時，將認證失敗，無法登錄平臺。

　　● 限制憑證連續(xù)輸入錯誤的次數(shù)。當超過上限次數(shù)后，會導致帳戶鎖定，需要等待解鎖時間并嘗試使用正確的憑據(jù)。

　　● SSO提供的Token存在有效時長。成功登錄平臺應用后，若無其他操作，超過有效期后自動將用戶登出。

　　3、 提供并啟用用戶身份標識唯一檢查功能、用戶鑒別信息復雜度檢查功能

　　● 用戶名稱策略：SSO使用Email作為用戶身份的唯一標識，并對Email格式提供檢查，凡是正確的、不重復的Email均可以注冊賬戶。

　　● 密碼認證：用戶訪問云平臺應用時，需要密碼認證。同時，該密碼也可以用于API方式訪問云平臺應用資源。

　　● 密碼策略：用戶設置密碼需滿足密碼策略，防止用戶使用簡單密碼導致賬號泄露。

　　4、 采用加密方式存儲用戶的賬號和口令信息

　　用戶的賬號以及密碼信息，只由Cloud Foundry UAA使用bcrypt加密存儲在MySQL數(shù)據(jù)庫，保證用戶的密碼信息安全。

　　5、平臺業(yè)務訪問控制

　　WISE-PaaS 云平臺提供多租戶的服務，租戶之間的權限和數(shù)據(jù)是完全隔離的。

　　您的賬戶下有多個應用服務及解決方案包(SRP)的實例部署在不同租戶管理空間中，為了加強權限控制，對資源進行授權，您本身為租戶管理員(由平臺管理所分配授權)，可以再建立子賬戶綁定不同授權角色分別為平臺管理員(admin)、租戶管理員( tenant)、租戶開發(fā)者(developer)和SRP用戶(srpUser)。

　　● admin為平臺管理員，具有管理所有Organization的權限，可以管理角色為 tenant / developer 的賬戶。但不能訪問租戶應用，保護租戶的資源。

　　● tenant為Organization管理員，可以管理 organization 中的賬號、APP、Services。

　　● developer主要功能為開發(fā)應用 (App)，由 tenant的賬戶建立，可以管理被授權的Space中的APP與Services。

　　● srpUser特別為APP創(chuàng)建的角色，App可運用srpUser 進行平臺統(tǒng)一的使用者身份驗證，再透過App對srpUser授權，決定srpUser在App中可執(zhí)行的功能。

　　6、數(shù)據(jù)訪問控制

　　使用WISE-PaaS云平臺的數(shù)據(jù)庫服務、IoT Hub服務，需要用戶的賬號擁有使用Space的權限(SSO developer權限及以上)，并在Space中創(chuàng)建相應服務的Service Instance，取得連線憑證，獲得訪問自己的數(shù)據(jù)的權限。

　　目前WISE-PaaS云平臺的微服務，如AFS、WISE-PaaS/Dashboard、SaaS Composer等均已經(jīng)整合SSO服務。

　　此外，云平臺提供的解決方案套件，如WISE-PaaS/EdgeSense、WebAccess等的前端網(wǎng)頁、后端接口也已經(jīng)整合SSO服務。

　　如此，租戶通過使用相應權限的賬戶，即可以享用云平臺的微服務以及解決方案套件。

（轉(zhuǎn)載）