文档部署 (Deploy)身份认证集成

身份认证集成

Loambase Foundry 作为一个企业级底座,不建议也不需要企业在平台内重新创建一套账号密码体系。平台内置了强大的身份联邦机制,能够无缝对接企业现有的身份提供商(IdP)。


1. 内置统一认证中心

平台默认内置了 Keycloak 作为全平台的 Identity Provider (IdP)。这意味着:

  1. 开箱即用的 SSO:平台内的后端 API、前端工作台、App Builder 生成的运行态应用,全部通过同一个 Keycloak 实例进行单点登录。
  2. 标准的协议支持:平台组件之间采用标准的 OAuth 2.0 和 OpenID Connect (OIDC) 协议进行 Token 签发与校验。

2. 对接企业现有身份体系

为了让企业员工直接使用现有的办公账号(如域账号、钉钉、企业微信)登录平台,IT 管理员需要在平台的 Keycloak 管理控制台中配置身份提供商 (Identity Brokering)用户联合 (User Federation)

2.1 通过 OIDC / SAML 对接 (推荐)

如果企业已经拥有成熟的 SSO 门户(如 Auth0, Okta, 阿里云 IDaaS, 或者自建的 OIDC Server),这是最推荐的接入方式。

对接步骤:

  1. 在企业的 SSO 门户中,新建一个 Client 应用,获取 Client IDClient Secret
  2. 登录 Foundry 平台的 Keycloak 管理控制台,进入 Identity Providers
  3. 选择 OpenID Connect v1.0SAML v2.0
  4. 填入上一步获取的凭证与发现端点 (Discovery URL)。
  5. 配置完成后,Foundry 平台的登录页会自动出现一个类似“通过企业统一门户登录”的按钮。员工点击后将被重定向至企业登录页,认证成功后再带回 Token 登录平台。

2.2 通过 LDAP / Active Directory 同步

如果企业使用 Windows AD 域或 LDAP 服务器统一管理组织架构,你可以配置目录同步。

对接步骤:

  1. 登录 Foundry 平台的 Keycloak 管理控制台,进入 User Federation
  2. 添加一个 LDAP 提供商。
  3. 配置 LDAP 的连接 URL (如 ldaps://ldap.yourcompany.com:636)、Bind DN 和密码。
  4. 配置文件过滤规则与属性映射(例如将 LDAP 的 mail 属性映射为平台的 email)。
  5. 开启定时同步 (Periodic Full Sync)。同步完成后,企业的组织架构和员工列表将出现在平台中,员工可以直接使用域账号密码登录 Foundry。

3. 开发者与机器间认证 (M2M)

当自动化脚本、CI/CD 流水线或 Agent 需要调用 Foundry 平台 API 时,不应使用个人账号密码。平台支持标准的客户端凭据许可 (Client Credentials Grant) 模式。

获取 Service Account Token

管理员可以在控制台创建一个专门的“服务账号 (Service Account)”,并为其分配特定的 API 访问权限。

开发者可以使用生成的凭据获取 Token:

curl -X POST "https://auth.foundry.yourcompany.com/realms/foundry/protocol/openid-connect/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials" \
  -d "client_id=your-service-account-id" \
  -d "client_secret=your-service-account-secret"

接口会返回一个有效期较短的 JWT Token:

{
  "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCI...",
  "expires_in": 300,
  "token_type": "Bearer"
}

随后,开发者在调用 Foundry Backend API 或 SDK 时,只需在请求头中携带该 Token 即可:

Authorization: Bearer <access_token>