本文档所描述的内容属于神策分析的高级使用功能,涉及较多技术细节,适用于对相关功能有经验的用户参考。如果对文档内容有疑惑,请咨询神策值班同学获取一对一的协助。

神策分析目前支持以下两种第三方登录方式:

  1. OAuth2.0 登录:支持标准的 OAuth 2.0 协议,需要神策分析版本 >= 1.7。
  2. LDAP 登录:支持 LDAP 协议,可以适配常见的如 OpenLDAP、AdLDAP 等 LDAP 服务,需要神策分析版本 >= 1.13。

1. 认证方式

1.1. 自动创建用户模式(默认)

默认行为,在该方式之下,第三方系统认证的用户首次登录神策时都会自动在神策分析系统中创建对应的用户,因此默认为所有通过认证的用户都有登录神策分析的权限。

开启方式(默认就是该行为,不需要主动开启):

sbpadmin business_config set -p sbp -k enable_oauth_auto_create_user -v true
BASH
monitor_tools set_config -t server -m web -n enable_oauth_auto_create_user -v true
BASH
spadmin config set server -p sa -m web -n enable_oauth_auto_create_user -v true
BASH

1.2. 手动创建用户模式

开启该方式之后,必须由管理员用户手动在神策系统当中创建了同名的用户之后,该用户才能够通过第三方系统登录神策系统。

开启方式:

sbpadmin business_config set -p sbp -k enable_oauth_auto_create_user -v false
BASH
monitor_tools set_config -t server -m web -n enable_oauth_auto_create_user -v false
BASH
spadmin config set server -p sa -m web -n enable_oauth_auto_create_user -v false
BASH

2. 权限控制

OAuth2.0 登录时,可以通过 UserInfo API 返回角色信息,该角色信息会在首次登录创建用户时生效。如果没有返回角色信息或者使用 LDAP 登录时,系统都会使用默认的角色信息,默认为普通用户角色

修改默认的角色信息:

sbpadmin business_config set -p sbp -k api_user_default_role -v analyst
BASH
monitor_tools set_config -t server -m web -n api_user_default_role -v analyst
BASH
spadmin config set server -p sa -m web -n api_user_default_role -v analyst
BASH
spadmin config set server -p sbp -m web -n api_user_default_role -v analyst
BASH
spadmin config set product_global -p sbp -n api_user_default_role -v analyst
BASH

已经登录过的用户,如果需要修改权限信息,需要由管理员用户在成员与角色管理中进行修改。

api_user_default_role 属性支持 admin、analyst、developer、guest,如要使用多角色使用英文逗号,进行分割

sbp1.1+ 版本支持在页面配置项目级的默认角色,优先级:客户系统userinfo接口响应的role字段对应的角色 > 页面配置默认角色 >  api_user_default_role 配置设置的默认角色 >  兜底角色 guest(普通用户)