1. LDAP/AD

1.1 AD域鉴权

填写名称、正确的域名服务器地址，域路径，点击 添加ad路径，输入域的管理员显示名称、和管理员密码，点击【测试】。测试通过表示信息填写正确。点击【保存】生效。 支持自动同步账号、组织和群组，设置过滤条件。

配置说明：
User1 且组在 RD 组织单位下，RD 组织单位在 BU 组织单位下，BU 组织单位在 abc.com 域下。user1 路径：abc.com/BU/RD/group/user1,the 组 path:abc.com/BU/RD/组

1）如果只将user1导入Raysync，则需要配置：
域帐户路径：cn=user1，ou=RD，ou=BU，dc=abc，dc=com
域帐户和密码：user1的显示名称和user1的密码

2）如果需要配置群组下的所有账号，需要配置：
域名路径：cn=group、ou=RD、ou=BU、dc=abc、dc=com
域名测试账号和密码：RD组织单位下用户的显示名和该用户的密码。
如果需要配置来自多个组织单位的用户，请添加相应的域路径。
注意：不支持导入群组用户，登录后群组用户将被移至用户列表中。

3）如果需要导入RD组织单位下的所有账号，需要配置：
域名账号路径：ou=RD、ou=BU、dc=abc、dc=com
域名测试账号和密码：RD组织单位下用户的显示名称和该用户的密码。
如果需要从多个组织单位导入用户，请添加相应的域路径。

4）如果需要从域导入所有用户，则需要配置：
域帐户路径：dc=abc，dc=com
域测试帐户和密码：用户的显示名称和该用户的 abc.com 密码

在用户门户登录域账号时，需要使用用户SamAccountName登录。

1.2 Open LDAP鉴权

配置说明：
用户1和组在RD组织单位下，RD组织单位在BU组织单位下，BU组织单位在 abc.com 域下。user1 Path：abc.com/BU/RD/group/user1,the 组path:abc.com/BU/RD/group
then，BindUser：uid=user1，ou=RD，ou=BU，dc=abc，dc=com（Binduser也可以是 abc.com 域中的任何用户）
BindPasswd：应为user1
1）如果仅将用户1导入Raysync，则
域帐户路径：uid=user1，ou=RD，ou=BU，dc=abc，dc=com

2）如果需要配置组下的所有账号，则
域账号路径：cn=group、ou=RD、ou=BU、dc=abc、dc=com
如果需要配置多个组织单位的用户，请添加相应的域名路径。
注意：不支持导入群组用户，登录后群组用户将显示在用户列表中。

3）如果需要导入RD组织单位下的所有账号，则
域账号路径：ou=RD、ou=BU、dc=abc、dc=com
如果需要从多个组织单位导入用户，请添加相应的域名路径。

 

3. 邮箱鉴权

支持使用邮箱服务的账号直接登录镭速系统。

点击账号管理-用户集成-，选中邮箱，填写正确的SMTP地址、SMTP端口、使用的加密方法、测试账号和密码，测试通过表示信息填写正确。点击保存即可生效。(邮箱服务需要开通SMTP服务，部分邮箱服务需要使用应用授权密码)

4.Linux System鉴权

支持使用Linux系统root权限或sudo权限启动镭速服务时，可以配置linux系统用户鉴权，配置成功后，可直接使用Linux用户登录镭速。

点击账号管理-用户集成，选中System ，点击保存。提示保存成功及配置成功。 （普通linux系统用户启动的镭速服务，无权限进行该配置。）

 

5.外部HTTP鉴权

支持使用外部的http服务进行镭速鉴权，当您已有一套自己的http服务，您可以直接在您的http服务中登录您原有的用户来使用镭速，也可以在镭速系统中登录您的http用户账号。

 

 

1）由外部http服务控制权限：外部鉴权服务登录镭速，由外部服务控制权限。不会在镭速系统同步创建用户，无法使用外部鉴权服务的账号密码登录镭速系统

2）由镭速控制权限：会在镭速系统同步创建出外部鉴权的用户，由镭速控制权限。用户可以使用外部鉴权服务的账号密码登录镭速系统

具体的集成文档可联系镭速技术或业务人员提供。

 

6.OpenID Connect鉴权

OpenID Connect（OIDC）是一种基于 OAuth 2.0 协议的身份验证和授权协议。它扩展了 OAuth 2.0，为身份提供了一种标准化的方式，使用户能够通过第三方应用程序进行身份验证，并授权这些应用程序访问受保护的资源。

 镭速oidc 鉴权实现与 IDP 的后端通信。它的功能类似于传统的OAuth流程，通过传统的OAuth访问令牌方式与镭速Web应用程序交互获取访问令牌。在此流程中，IDP提供商不会发送用户详细信息，而是发送一个特殊的一次性代码，镭速Web 服务可以将该代码交换为 OAuth 访问令牌。除了一次性代码之外，此交换还需要包含客户端 ID 和客户端密钥，与传统的 OAuth 2.0 流程一样。此令牌通过浏览器不可见，实现镭速服务于IDP服务间进行身份​​验证。

如果您已经有自己的企业管理系统，您可以使用您的企业管理系统帐号登录镭速。

6.1  OKTA登录

6.1.1 创建OKTA应用

1）登录您的okta管理页面，在左侧菜单栏找到Applications，并点击Create APP Integration

2）在弹出的页面上选择 Sign-in method:OIDC - OpenID Connect，并选择Application type:Web Application, 完成选择后点击Next

3）填写应用信息，请确保地址准确

字段	描述
App integration name	应用名称
Client acting on behalf of a user	Authorization Code
Sign-in redirect URIs	回调地址：为您的镭速服务前台 + /api/user/oidc/callback https://{{RAYSYNC_DOMAIN:8091}}/api/user/oidc/callback

 

4）确定授权范围，默认选择如下，运行okta 的所有用户，选择完成后点击Save

 

6.1.2 获取OKTA应用信息

1）点击已创建的APP

2）在页面获取Client ID、Client Secret

3）在左侧菜单栏，选择Security下的API,并进入

4）如图点击进入okta 的配置信息

5）获取Issuer ，如下图

6）根据issuer，获取idp 的配置信息地址，转换地址如：{{issuer}}/.well-known/openid-configuration，转换完成后，在浏览器输入地址

7）步骤六获取的json 信息中，获取authorization_endpoint，token_endpoint，userinfo_endpoint

6.1.3 将OKTA配置信息填入

将以上信息填入镭速oidc 鉴权配置中，并点击保存

 

点击测试连接，若成功跳转至OKTA的登录页面则配置成功。配置成功后，用户在前台则可以使用OKTA账号登陆镭速。

6.2.  OneLogin登录

6.2.1 创建OneLogin应用

1）进入您的Onelogin管理页面，在上方导航栏中，点击 Application > Add App

2）搜索”OpenId Connect“或者”oidc“，然后选择Open Connect（OIDC）应用程序

3）输入应用程序的名称，然后单击Save

4）在Configuration选项卡中，配置应用信息，请确保地址准确，点击Save。

字段	描述
Login Url	您的镭速服务前台地址 https://{{RAYSYNC_DOMAIN:8091}}
Redirect URI's	回调地址：您的镭速服务前台地址 + api/user/oidc/callback  https://{{RAYSYNC_DOMAIN:8091}}/api/user/oidc/callback
Post Logout Redirect URI's	登出回调地址：为您的镭速服务前台地址  https://{{RAYSYNC_DOMAIN:8091}}

5）在 SSO 选项卡中，Application Type 选择 Web；Authentication Method 选择 POST 作为令牌端点，单击Save

6）将用户添加到应用程序中

单击导航栏Users > Users，然后选择一个用户，点击进入

点击Application，然后添加

选择需要添加的应用，点击Save

 

6.2.2 获取OneLogin应用信息

1）点击进入app 

2）点击SSO,获取Client ID、Client Secret

3）获取IssuerURL

点击“Well-known Configuration” 获取authorization_endpoint，token_endpoint，userinfo_endpoint

 

6.2.3 将OneLogin配置信息填入

 

保存后，点击测试连接，若跳转至Onelogin登录页面则配置成功，配置成功后，用户在前台则可以使用Onelogin账号登陆镭速

6.3  Google 登录

6.3.1 创建谷歌凭据

1）登录google控制台 https://console.cloud.google.com

2）选择API & Services

 

 

3）选择Credentials，Create Credentials

 

4）选择OAuth client ID

 

5）选择应用类型为Web application

 

 

6）填写Authorized JavaScript origins和Authorized redirect URIs

 

 

功能	说明
Authorized JavaScript origins	您的镭速服务的前台地址，该地址必须使用顶级域名 https://{{RAYSYNC Top-level domain:8091}}
Authorized redirect URIs	您的镭速服务前台地址 + /api/user/oidc/callback https://{{RAYSYNC Top-level domain:8091}}/api/user/oidc/callback

 

点击Create

 

7）下载json文件或者点击进入您的Client，获取您的Client ID 、Client secret

 

 

 

 

6.3.2 在镭速配置OpenID Connect 谷歌的信息

登录镭速后台，用户--用户集成--三方登录鉴权--OpenID Connect

1）打开帮助文档

https://accounts.google.com/.well-known/openid-configuration

获取Issuer URL、Authorization Endpoint、Token Endpoint 、Userinfo Endpoint

 

 

 

2）填入配置信息，保存

 

4）点击测试连接

 

 

跳转至谷歌登录页即为配置成功

配置成功后，用户在前台则可以使用谷歌账号登陆镭速。