身份认证集成
Loambase Foundry 作为一个企业级底座,不建议也不需要企业在平台内重新创建一套账号密码体系。平台内置了强大的身份联邦机制,能够无缝对接企业现有的身份提供商(IdP)。
1. 内置统一认证中心
平台默认内置了 Keycloak 作为全平台的 Identity Provider (IdP)。这意味着:
- 开箱即用的 SSO:平台内的后端 API、前端工作台、App Builder 生成的运行态应用,全部通过同一个 Keycloak 实例进行单点登录。
- 标准的协议支持:平台组件之间采用标准的 OAuth 2.0 和 OpenID Connect (OIDC) 协议进行 Token 签发与校验。
2. 对接企业现有身份体系
为了让企业员工直接使用现有的办公账号(如域账号、钉钉、企业微信)登录平台,IT 管理员需要在平台的 Keycloak 管理控制台中配置身份提供商 (Identity Brokering) 或 用户联合 (User Federation)。
2.1 通过 OIDC / SAML 对接 (推荐)
如果企业已经拥有成熟的 SSO 门户(如 Auth0, Okta, 阿里云 IDaaS, 或者自建的 OIDC Server),这是最推荐的接入方式。
对接步骤:
- 在企业的 SSO 门户中,新建一个 Client 应用,获取
Client ID和Client Secret。 - 登录 Foundry 平台的 Keycloak 管理控制台,进入 Identity Providers。
- 选择
OpenID Connect v1.0或SAML v2.0。 - 填入上一步获取的凭证与发现端点 (Discovery URL)。
- 配置完成后,Foundry 平台的登录页会自动出现一个类似“通过企业统一门户登录”的按钮。员工点击后将被重定向至企业登录页,认证成功后再带回 Token 登录平台。
2.2 通过 LDAP / Active Directory 同步
如果企业使用 Windows AD 域或 LDAP 服务器统一管理组织架构,你可以配置目录同步。
对接步骤:
- 登录 Foundry 平台的 Keycloak 管理控制台,进入 User Federation。
- 添加一个
LDAP提供商。 - 配置 LDAP 的连接 URL (如
ldaps://ldap.yourcompany.com:636)、Bind DN 和密码。 - 配置文件过滤规则与属性映射(例如将 LDAP 的
mail属性映射为平台的email)。 - 开启定时同步 (Periodic Full Sync)。同步完成后,企业的组织架构和员工列表将出现在平台中,员工可以直接使用域账号密码登录 Foundry。
3. 开发者与机器间认证 (M2M)
当自动化脚本、CI/CD 流水线或 Agent 需要调用 Foundry 平台 API 时,不应使用个人账号密码。平台支持标准的客户端凭据许可 (Client Credentials Grant) 模式。
获取 Service Account Token
管理员可以在控制台创建一个专门的“服务账号 (Service Account)”,并为其分配特定的 API 访问权限。
开发者可以使用生成的凭据获取 Token:
curl -X POST "https://auth.foundry.yourcompany.com/realms/foundry/protocol/openid-connect/token" \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "grant_type=client_credentials" \
-d "client_id=your-service-account-id" \
-d "client_secret=your-service-account-secret"接口会返回一个有效期较短的 JWT Token:
{
"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCI...",
"expires_in": 300,
"token_type": "Bearer"
}随后,开发者在调用 Foundry Backend API 或 SDK 时,只需在请求头中携带该 Token 即可:
Authorization: Bearer <access_token>