添加应用_应用身份管理服务 OneAccess_用户指南_企业管理员指南_

管理员在OneAccess中添加企业需要的应用，包括自建应用和预集成应用。

1. 登录OneAccess企业中心。
2. 在导航栏中，单击“资源 > 应用”。
3. 在企业应用页面，单击预集成应用下的“添加预集成应用”。
4. 在新增预集成应用页面，单击需要的预置应用。
5. 编辑通用信息。在右侧添加应用页面，编辑通用信息的参数，单击“下一步”。

   表1 通用信息

   参数	说明
   应用LOGO	上传图片文件大小不超过50K。
   应用名称	必填，支持自定义。
   认证集成方式	OneAccess系统内置，不可修改。
   同步集成方式	OneAccess系统内置，不可修改。

6. 编辑认证参数配置。通过配置应用的认证参数，可以实现有权访问应用的用户通过OneAccess单点登录应用。不同应用的认证集成方式可能不同，其认证参数也不同。OneAccess支持以SAML、OIDC、CAS、OAUTH、插件代填的方式集成应用，下面以SAML认证集成方式为例，说明认证集成参数的配置方法。
   当应用的认证集成方式为SAML时，OneAccess支持“上传文件”和“手动编辑”两种配置方法，选择其中一种即可。

   • 上传元数据
     1. 单击认证参数配置页面的“导入SP应用元数据”。
     2. 单击“选取文件”，选择获取的应用SP的元数据文件。
        

        • 如果提示“请上传正确的文件类型”，需要您确认元数据文件的正确性后，重新上传或者通过手动编辑提取元数据。
        • 企业应用的元数据获取方法请参考企业应用的帮助文档。
     3. 待“选取文件”变为“√”时，即系统已提取元数据，单击“下一步”，应用添加完成。
   • 手动编辑元数据
     1. 单击“手动输入配置数据”。
     2. 在手动编辑元数据页面，输入从SP元数据文件中获取的“Entity ID”、“Audience URI”等参数。

   表2 认证参数

   参数	是否必选	说明
   SP Entity ID	是	SP唯一标识，对应SP元数据文件中的“Entity ID”的值。
   断言消费地址（ACS URL）	是	SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当OneAccess认证成功后响应返回的地址
   Name ID	是	用户在应用系统中的账号名对应字段，可以选择用户的属性或者对应的账号属性,此字段的值将作为断言中的subject。
   NameID Format	是	SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。
   Audience URI	否	允许使用SAML断言的资源，默认和SP Entity ID相同。
   Single Logout URL	否	服务提供商提供会话注销功能，用户在OneAccess注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。
   默认Relay State	否	使用在IDP发起的认证中，作为默认的一个值。
   Reponse签名	是	默认为否。是否对SAML Response使用IDP的证书签名。
   断言签名	是	默认为否。是否对断言使用IDP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。
   数字签名算法	是	默认为RSA_SHA256，对SAML Response或者断言签名的算法。可以在RSA_SHA256、RSA_SHA256、RSA_SHA256之中任选一个。
   数字摘要算法	是	默认为SHA256，对SAML Response或者断言的算法摘要算法。可以在SHA256、SHA256、SHA256之中任选一个。
   断言加密	是	默认为否。是否对断言进行加密。
   验证请求签名	是	默认为是。是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。
   验证签名证书	是	默认为是。SP公钥证书，用来对SAML request的签名验证，对应SP元数据文件中use="signing"证书内容。

7. (可选）编辑同步配置。部分预集成应用不提供同步集成功能，请跳过此步骤。通过配置应用的同步参数，您可以在OneAccess管理应用中的账号和群组。不同应用的同步集成方式可能不同，其认证参数也不同。OneAccess的同步配置支持事件回调、SCIM、LDAP方式，下面以SCIM同步集成方式为例，说明同步集成参数的配置方法。

   表3 同步参数

   参数		说明
   基础配置	SCIM协议接口地址	目标系统接收SCIM协议数据结构的接口地址。
   	认证方式	调用SCIM接口前需要授权，若未授权则无法调用相关接口。可选Basic Auth、Bearer Token。
   	认证用户名	认证方式对应的用户名。
   	认证密码	认证方式对应的用户名密码。
   	应用账号模板	需要推送给目标系统的用户请求数据模板，属性填充后推送给目标系统。OneAccess默认提供SCIM2.0标准协议数据模板，如需修改模板请联系
   	应用机构模板	需要推送给目标系统的机构请求数据模板，属性填充后推送给目标系统。OneAccess默认提供SCIM2.0标准协议数据模板，如需修改模板请联系
   	机构资源路径	SCIM协议机构资源接口路径，例如，标准协议中用户路径为User，用户组路径为Group。
   高级配置	Content-Type	请求头部参数，请根据目标系统要求填写。一般为application/json、application/scim+json。OneAccess默认application/scim+json。
   	Accept	请求头部参数，请根据目标系统要求填写。一般为application/json、application/scim+json。
   	时间格式	JSON时间格式，如果格式为毫秒值，则填timestamp，其他格式则值为格式表达式，例如，yyyy-MM-dd HH:mm:ss

8. 单击“进入应用”，添加应用完成。跳转至应用详情，请参考修改应用配置。