WISE-PaaS動態(tài)播報

　　研華WISE-PaaS工業(yè)物聯(lián)網(wǎng)云平臺在不斷地升級完善中，“研華智能地球”每周四為您播報其更新動態(tài)~

　　隨著云計算的飛速發(fā)展，越來越多的云應(yīng)用、云服務(wù)充斥在日常的工作當中。

　　人們在享受信息化帶來的便捷的同時，也遭受著應(yīng)用系統(tǒng)反復(fù)登錄，工作入口來回切換，數(shù)據(jù)消息接收不及時等諸多煩惱。伴隨著業(yè)務(wù)系統(tǒng)數(shù)量的增加，用戶會覺得自己身陷于越來越多的用戶賬號和密碼需要記錄，以便于使用各種云服務(wù)。

　　隨著互聯(lián)網(wǎng)的不斷發(fā)展，單點登錄(Single Sign On，簡稱SSO)，獲得了廣泛的認可和應(yīng)用。SSO是指在多個系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。

　　研華的WISE-PaaS工業(yè)物聯(lián)網(wǎng)云平臺，就已為用戶提供單點登錄(SSO)服務(wù)。

　　研華WISE-PaaS提供的單點登錄機制(SSO)，用于管理云平臺賬戶下資源訪問權(quán)限。

　　? 為何要使用SSO?

　　● 方便用戶，單一登錄機制

　　使用云平臺SaaS服務(wù)的用戶僅需使用單一賬號進行登錄，即可取得所有被授權(quán)的應(yīng)用程序的訪問權(quán)限，改善用戶使用應(yīng)用系統(tǒng)的體驗。

　　● 方便管理者，優(yōu)化維護管理

　　系統(tǒng)管理員只需要維護一套統(tǒng)一的用戶賬號，優(yōu)化管理的同時，減少了管理漏洞。

　　● 方便開發(fā)者，簡化應(yīng)用系統(tǒng)開發(fā)

　　方便開發(fā)者：云平臺SaaS開發(fā)者通過整合SSO，無須額外開發(fā)帳戶管理系統(tǒng)，有效節(jié)省了開發(fā)時間。

　　? SSO具備以下特性：

　　● 簡潔的特性

　　因為格式為JSON，相較于XML，JWTs可以作為一個URL、POST參數(shù)，或在HTTP Header內(nèi)發(fā)送。此外，較小的size傳輸速度比較快不占用帶寬。

　　● 獨立的特性

　　憑證內(nèi)容包含關(guān)于用戶的信息，可以減少數(shù)據(jù)庫查詢來驗證用戶信息。

　　● 認證便利的特性

　　一旦使用者登錄，每個后續(xù)請求都將憑證帶在請求的表頭，后端服務(wù)器收到請求即允許使用者存取該憑證 (token) 允許的路徑、服務(wù)與資源。如今來說，單點登錄是一個廣泛使用JWT的特色，因為它簡潔，又能夠被容易地跨不同領(lǐng)域使用。

　　● 前后端統(tǒng)一支持的特性

　　同時支持前端網(wǎng)頁(Frontend)與后端(Native)應(yīng)用單點登錄功能，確保最佳用戶體驗。

　　● 提供完整的Restful API

　　提供完整的Restful API供開發(fā)者整合，提高整合效率。

　　? SSO提供如下功能：

　　1、 提供用戶注冊、用戶管理及用戶鑒別功能

　　注冊賬號需標識賬號角色，且對應(yīng)Cloud Foundry不同權(quán)限。通過使用Cloud Foundry的User Account and Authentication (UAA)對用戶進行身份鑒別。

　　2、 提供保護機制防范惡意嘗試

　　WISE-PaaS工業(yè)物聯(lián)網(wǎng)云平臺目前要求提供登錄功能的環(huán)境，均已整合SSO，提供身份驗證功能。

　　● 當用戶輸入錯誤的憑證時，將認證失敗，無法登錄平臺。

　　● 限制憑證連續(xù)輸入錯誤的次數(shù)。當超過上限次數(shù)后，會導(dǎo)致帳戶鎖定，需要等待解鎖時間并嘗試使用正確的憑據(jù)。

　　● SSO提供的Token存在有效時長。成功登錄平臺應(yīng)用后，若無其他操作，超過有效期后自動將用戶登出。

　　3、 提供并啟用用戶身份標識唯一檢查功能、用戶鑒別信息復(fù)雜度檢查功能

　　● 用戶名稱策略：SSO使用Email作為用戶身份的唯一標識，并對Email格式提供檢查，凡是正確的、不重復(fù)的Email均可以注冊賬戶。

　　● 密碼認證：用戶訪問云平臺應(yīng)用時，需要密碼認證。同時，該密碼也可以用于API方式訪問云平臺應(yīng)用資源。

　　● 密碼策略：用戶設(shè)置密碼需滿足密碼策略，防止用戶使用簡單密碼導(dǎo)致賬號泄露。

　　4、 采用加密方式存儲用戶的賬號和口令信息

　　用戶的賬號以及密碼信息，只由Cloud Foundry UAA使用bcrypt加密存儲在MySQL數(shù)據(jù)庫，保證用戶的密碼信息安全。

　　5、平臺業(yè)務(wù)訪問控制

　　WISE-PaaS 云平臺提供多租戶的服務(wù)，租戶之間的權(quán)限和數(shù)據(jù)是完全隔離的。

　　您的賬戶下有多個應(yīng)用服務(wù)及解決方案包(SRP)的實例部署在不同租戶管理空間中，為了加強權(quán)限控制，對資源進行授權(quán)，您本身為租戶管理員(由平臺管理所分配授權(quán))，可以再建立子賬戶綁定不同授權(quán)角色分別為平臺管理員(admin)、租戶管理員( tenant)、租戶開發(fā)者(developer)和SRP用戶(srpUser)。

　　● admin為平臺管理員，具有管理所有Organization的權(quán)限，可以管理角色為 tenant / developer 的賬戶。但不能訪問租戶應(yīng)用，保護租戶的資源。

　　● tenant為Organization管理員，可以管理 organization 中的賬號、APP、Services。

　　● developer主要功能為開發(fā)應(yīng)用 (App)，由 tenant的賬戶建立，可以管理被授權(quán)的Space中的APP與Services。

　　● srpUser特別為APP創(chuàng)建的角色，App可運用srpUser 進行平臺統(tǒng)一的使用者身份驗證，再透過App對srpUser授權(quán)，決定srpUser在App中可執(zhí)行的功能。

　　6、數(shù)據(jù)訪問控制

　　使用WISE-PaaS云平臺的數(shù)據(jù)庫服務(wù)、IoT Hub服務(wù)，需要用戶的賬號擁有使用Space的權(quán)限(SSO developer權(quán)限及以上)，并在Space中創(chuàng)建相應(yīng)服務(wù)的Service Instance，取得連線憑證，獲得訪問自己的數(shù)據(jù)的權(quán)限。

　　目前WISE-PaaS云平臺的微服務(wù)，如AFS、WISE-PaaS/Dashboard、SaaS Composer等均已經(jīng)整合SSO服務(wù)。

　　此外，云平臺提供的解決方案套件，如WISE-PaaS/EdgeSense、WebAccess等的前端網(wǎng)頁、后端接口也已經(jīng)整合SSO服務(wù)。

　　如此，租戶通過使用相應(yīng)權(quán)限的賬戶，即可以享用云平臺的微服務(wù)以及解決方案套件。