用户
更新时间:2023-11-22 06:08:551. 本地用户
1.1 新增账户
在用户-本地用户点击【新增】,进入新增账户页面
1.2 编辑账户
可对用户的密码/主目录/权限/限速/用户组/禁止访问路径/同步目录功能/文件格式传输限制/上传文件选项/文件过滤/虚拟目录/IP登陆白名单/等进行编辑。 选中任意用户,点击【编辑】
1.3 锁定/解锁账户
选中任意未被锁定的用户,点击【锁定】;任意已锁定的用户,点击【解锁】即可解锁。
1.4 删除用户账户
勾选想要删除的用户,点击上方的【删除】。弹出确认删除弹框后点击确定即可删除成功
1.5 导入LDAP/AD域账户
点击【导入LDAP/AD域账户】能主动导入域服务器已创建的所有域用户账号,前提需要在用户集成-第三方鉴权配置【LDAP/AP域】,才能够支持该功能
1.6 导入/导出账户
点击【导入用户】,通过指定的模板填入账号、邮箱、密码、部门可一键导入账号。点击【导出用户】即可将所有的账户的邮箱、账户、姓名、部门导出。
1.7 批量编辑用户
选中多个需要编辑的账号,点击【编辑】,即可批量编辑账号的状态、目录设置、传输设置、安全设置信息。
1.8 复制用户
选中需要复制的账号,点击【复制】,即可复制一个拥有相同设置的账户,但邮箱、账号、密码、姓名需要单独配置。
1.9 组织
支持创建部门,可将用户添加到部门中。导入ad域账号时,可直接根据用户的组织进行导入,便于管理员对用户进行管理。系统默认存在本地部门。
2. 用户集成
支持AD域用户鉴权、邮箱用户鉴权、linux系统用户鉴权、外部http、企业微信、OpenID Connect鉴权方式,与企业内部账户互通,操作方便。用户在前端登录只需要导入企业的AD域账户,或者输入邮箱、linux系统账号密码或外部http鉴权用户账号密码即可登陆镭速系统。
2.1 LDAP/AD域鉴权
支持Windows AD域和OpenLdap 。
点击【用户集成】-【三方登录鉴权】,选中LDAP/AD域
2.1.1 AD域
填写正确的域服务器地址、域账户路径、域测试账号和密码,点击测试,测试通过表示信息填写正确。点击保存即可生效。
配置说明:
用户user1,用户组group都处在abc.com域的BU组织单位下的RD组织单元下,user1路径为:abc.com/BU/RD/user1, group组路径为abc.com/BU/RD/group
1)如只需导入user1到系统账户中,则
域账户路径为:cn=user1,ou=RD,ou=BU,dc=abc,dc=com
域测试账号和密码:必须为账号user1和user1的密码
2)如需配置group组的所有账户,则
域账户路径为:cn=group,ou=RD,ou=BU,dc=abc,dc=com
域测试账号和密码:必须为RD组织单元层级下的其中一个账号和密码
如需配置指定的多个用户组下的账户,则添加多条域账户路径即可
注意:无法直接导入组内用户,用户登录后,可在用户列表展示
3)如需导入RD组织单元下的所有账户,则
域账户路径为:ou=RD,ou=BU,dc=abc,dc=com
域测试账号和密码:必须为RD组织单元层级下的其中一个账号和密码
如需导入指定的多个组织单元下的账户,则添加多条域账户路径即可
4)如需导入域下面的所有账户,则
域账户路径为:dc=abc,dc=com
域测试账号和密码:必须为abc.com层级下的其中一个账号和密码
2.1.2 OpenLdap
配置说明:
用户user1,用户组group都处在abc.com域的BU组织单位下的RD组织单元下,user1路径为:abc.com/BU/RD/user1, group组路径为abc.com/BU/RD/group
则BindUser为: uid=user1,ou=RD,ou=BU,dc=abc,dc=com(BindUser也可以为abc.com域内的任意用户)
BindPasswd为: 账号user1的密码
1)如只需导入user1到系统账户中,则
域账户路径为:uid=user1,ou=RD,ou=BU,dc=abc,dc=com
2)如需配置group组的所有账户,则
域账户路径为:cn=group,ou=RD,ou=BU,dc=abc,dc=com
如需配置指定的多个用户组下的账户,则添加多条域账户路径即可
注意:无法直接导入组内用户,用户登录后,可在用户列表展示
3)如需导入RD组织单元层的账户,则
域账户路径为:ou=RD,ou=BU,dc=abc,dc=com
如需导入指定的多个组织单元下的账户,则添加多条域账户路径即可
2.2 邮箱鉴权
点击用户集成-三方登录鉴权,选中邮箱 填写正确的SMTP地址、SMTP端口、使用的加密方法、测试账号和密码,测试通过表示信息填写正确。点击保存即可生效。(邮箱服务需要开通SMTP服务,部分邮箱服务需要使用应用授权密码)
2.3 Unix System 鉴权
使用linux系统root权限或sudo权限启动镭速服务时,支持配置linux系统用户鉴权。
点击用户集成-三方登录鉴权,选中System 鉴权,点击保存。提示保存成功及配置成功。 (普通linux系统用户启动的镭速服务,无权限进行该配置。)
2.4 外部http鉴权
支持调用外部的http服务进行鉴权。
点击用户集成-三方登录鉴权,选中外部http鉴权,输入正确的鉴权服务地址,点击保存。
在服务器主目录配置文件config中配置外部http服务接口,配置成功后,即可在外部服务中登录使用镭速。
2.5 企业微信
2.5.1场景介绍
概述:企业微信自建应用扫码适用于在网页中通过扫码企业微信让用户进行登录的场景。在镭速中配置企业微信自建应用扫码 的企业登录,即可实现通过镭速速获取企业微信基本开放的信息和帮助用户实现企业微信登录功能。
终端用户预览图:
注意事项
如果你未开通 企业微信管理员 账号,请先前往 企业微信管理员后台 (opens new window)进行注册登录
2.5.2 创建企业微信自建应用
1)应用管理-应用-创建应用
上传logo、输入应用名称、选择应用可见范围,创建应用
2)配置应用主页
进入到应用详情页面,配置应用主页为:镭速前台地址 + wechat/index_qywx.html 如https://test.raysync.cn:8091/wechat/index_qywx.html
3)配置应用网页授权及JS-SDK-可信域名
在应用详情页,点击网页授权及JS-SDK-设置可信域名:镭速前台域名+端口 如test.raysync.cn:8091
点击【申请校验域名】
下载文件
将下载的文件并放入镭速服务器dist/app目录内
成功后回到【设置可信域名】,点击确定。 已验证则表示配置成功。
4)配置企业可信IP
在应用详情页,点击配置企业可信IP
填入镭速服务器的IP地址
5)配置企业授权登录
在应用详情页,点击设置企业维系授权登录
配置Web网页的授权回调地址:镭速前台域名地址 如test.raysync.cn:8091
6)配置通讯录企业可信IP
管理工具 – 通讯录同步,点击配置企业可信IP
填入服务器IP
2.5.3 镭速服务器配置企业微信连接信息
字段 | 描述 |
---|---|
企业 ID | 在企业微信应用的后台, 在我的企业 - 企业信息 - 企业 ID |
应用AgentId | 在企业微信应用的后台, 应用管理 - 自建应用 - 选择应用 - AgentId |
应用Secret | 在企业微信应用的后台, 应用管理 - 自建应用 - 选择应用 - Secret |
通讯录Secret | 在企业微信应用的后台, 管理工具 - 通讯录同步 - Secret |
2.5.4 企业微信用户端登录
也可以通过后管用户-导入第三方鉴权账户,导入企业微信账号
2.6 OpenID Connect
OIDC(OpenID Connect)是一种基于 OAuth 2.0 协议的身份验证和授权协议。它扩展了 OAuth 2.0,为身份提供了一种标准化的方式,使用户能够通过第三方应用程序进行身份验证,并授权这些应用程序访问受保护的资源。
镭速oidc 鉴权实现与 IDP 的后端通信。它的功能类似于传统的OAuth流程,通过传统的OAuth访问令牌方式与镭速Web应用程序交互获取访问令牌。在此流程中,IDP提供商不会发送用户详细信息,而是发送一个特殊的一次性代码,镭速Web 服务可以将该代码交换为 OAuth 访问令牌。除了一次性代码之外,此交换还需要包含客户端 ID 和客户端密钥,与传统的 OAuth 2.0 流程一样。此令牌通过浏览器不可见,实现镭速服务于IDP服务间进行身份验证。
如果您已经有自己的企业管理系统,您可以使用您的企业管理系统帐号登录镭速。
2.6.1 OKTA登录
2.6.1.1 创建OKTA应用
1)登录您的okta管理页面,在左侧菜单栏找到Applications,并点击Create APP Integration
2)在弹出的页面上选择 Sign-in method: OIDC - OpenID Connect,并选择Application type: Web Application, 完成选择后点击Next
3)填写应用信息,请确保地址准确
字段 | 描述 |
---|---|
App integration name | 应用名称 |
Client acting on behalf of a user | Authorization Code |
Sign-in redirect URIs |
回调地址:为您的镭速服务前台 + /api/user/oidc/callback |
4)确定授权范围,默认选择如下,运行okta 的所有用户,选择完成后点击Save
2.6.1.2 获取OKTA应用信息
1)点击已创建的APP
2)在页面获取Client ID、Client Secret
3)在左侧菜单栏,选择Security下的API,并进入
4)如图点击进入okta 的配置信息
5)获取Issuer ,如下图
6)根据issuer,获取idp 的配置信息地址,转换地址如:{{issuer}}/.well-known/openid-configuration,转换完成后,在浏览器输入地址
7)步骤六获取的json 信息中,获取authorization_endpoint,token_endpoint, userinfo_endpoint
2.6.1.3 将OKTA配置信息填入
将以上信息填入镭速oidc 鉴权配置中,并点击保存
点击测试连接,若成功跳转至OKTA的登录页面则配置成功。配置成功后,用户在前台则可以使用OKTA账号登陆镭速。
2.6.2 OneLogin登录
2.6.2.1 创建OneLogin应用
1)进入您的Onelogin管理页面,在上方导航栏中,点击 Application > Add App
2)搜索”OpenId Connect“或者”oidc“,然后选择Open Connect(OIDC)应用程序
3)输入应用程序的名称,然后单击Save
4)在Configuration选项卡中,配置应用信息,请确保地址准确,点击Save。
字段 | 描述 |
---|---|
Login Url |
您的镭速服务前台地址 |
Redirect URI's |
回调地址:您的镭速服务前台地址 + api/user/oidc/callback |
Post Logout Redirect URI's |
登出回调地址:为您的镭速服务前台地址 |
5)在 SSO 选项卡中,Application Type 选择 Web;Authentication Method 选择 POST 作为令牌端点,单击Save
6)将用户添加到应用程序中
单击导航栏Users > Users,然后选择一个用户,点击进入
点击Application,然后添加
选择需要添加的应用,点击Save
2.6.2.2 获取OneLogin应用信息
1)点击进入app
2)点击SSO,获取Client ID、Client Secret
3)获取IssuerURL
点击“Well-known Configuration” 获取authorization_endpoint,token_endpoint, userinfo_endpoint
2.6.2.3 将OneLogin配置信息填入
保存后,点击测试连接,若跳转至Onelogin登录页面则配置成功,配置成功后,用户在前台则可以使用Onelogin账号登陆镭速
2.6.3 Google 登录
2.6.3.1 创建谷歌凭据
1)登录google控制台 https://console.cloud.google.com
2)选择API & Services
3)选择Credentials,Create Credentials
4)选择OAuth client ID
5)选择应用类型为Web application
6)填写Authorized JavaScript origins和Authorized redirect URIs
功能 | 说明 |
---|---|
Authorized JavaScript origins |
您的镭速服务的前台地址,该地址必须使用顶级域名 |
Authorized redirect URIs |
您的镭速服务前台地址 + /api/user/oidc/callback https://{{RAYSYNC Top-level domain:8091}}/api/user/oidc/callback |
点击Create
7)下载json文件或者点击进入您的Client,获取您的Client ID 、Client secret
2.6.3.2 在镭速配置OpenID Connect 谷歌的信息
登录镭速后台,用户--用户集成--三方登录鉴权--OpenID Connect
1)打开帮助文档
https://accounts.google.com/.well-known/openid-configuration
获取Issuer URL、Authorization Endpoint、Token Endpoint 、Userinfo Endpoint
2)填入配置信息,保存
4)点击测试连接
跳转至谷歌登录页即为配置成功
配置成功后,用户在前台则可以使用谷歌账号登陆镭速。
2.7 鉴权默认权限配置
配置登录鉴权方式后,可对鉴权用户进行默认权限配置。 LDAP/AD域 & 邮箱、企业微信鉴权:此页面配置仅对这两种鉴权方式新登录的账户生效,已登录的账户可通过账户信息列表修改配置。 System & 外部http鉴权:通过这两种鉴权方式登录的账户,不会在账户信息中生成账户列表,因此若需要更改账户配置,编辑此页面即可。