版本 | 作者 | 日期 | 备注
- | - | - | -
v1 | 刘洪青 | 2020-06-10 | 初稿
+v1.4 | 刘洪青 | 2021-09-21 | V1.4部署更新
[TOC]
mysqldump -u root -p token_server > token_server.sql
mysqldump -u root -p user > user.sql
mysqldump -u root -p user_authz > user_authz.sql
+ mysqldump -u root -p authx_log > authx_log.sql
+
mysqldump -u root -p agent_service > agent_service.sql
```
mysql -u root -p token_server < token_server.sql
mysql -u root -p user < user.sql
mysql -u root -p user_authz < user_authz.sql
+ mysql -u root -p authx_log < authx_log.sql
+
mysql -u root -p agent_service < agent_service.sql
```
* 镜像同步
- 从 https://harbor.supwisdom.com 中同步镜像
+ 从 https://harbor.supwisdom.com 中同步镜像(须申请 harbor 帐号)
仓库管理 下 新建目标
```
```
admin-portal admin-portal/*
authx-service authx-service/*
+ authx-log authx-log/*
thirdparty-agent-service thirdparty-agent-service/*
user-authorization-service user-authorization-service/*
cas-server cas-server/*
token-server token-server/*
+ attest-server attest-server/*
jobs-server jobs-server/*
本产品安装需要的域名如下:
```
- cas.paas.xxx.edu.cn 认证(视具体情况,可调整)
- token.paas.xxx.edu.cn 认证(APP适用)
+ cas.paas.xxx.edu.cn 认证(视具体情况,可调整;包括,CAS 认证、Token 认证、身份验证服务)
+ token.paas.xxx.edu.cn (废弃,合并至 cas)认证(APP适用)
+
+ personal-security-center.paas.xxx.edu.cn (废弃,合并至 authx-service)个人安全中心后端API
- personal-security-center.paas.xxx.edu.cn 个人安全中心后端API
+ security-center.paas.xxx.edu.cn (废弃,合并至 authx-service)安全中心前端UI(帐号激活、忘记密码)
- security-center.paas.xxx.edu.cn 安全中心前端UI(帐号激活、忘记密码)
+ authx-service.paas.xxx.edu.cn 用户授权服务(包括,用户认证授权管理前端UI、安全中心前端UI、安全中心后端API)
authx-minio.paas.xxx.edu.cn 文件服务
```
MINIO_SECRET_KEY | minio密钥(base64加密),默认为 8pxlIe9#lN7Q | OHB4bEllOSNsTjdR
-* auth-service 下的 poa-api-docs-installer
+* auth-service 下的 authx-service-bff
- ConfigMap,poa-api-docs-installer-env
+ ConfigMap,authx-service-bff-env
key | 说明 | 配置示例
- | - | -
- POA_SERVER_URL | POA网关地址(外部访问地址) | http://poa.paas.xxx.edu.cn
- POA_SA_SERVER_URL | POA管理接口地址(k8s集群内部地址) | http://poa-sa-svc.poa.svc.cluster.local:8443
+ UNIAUTH_BASIC_AUTH_USERNAME | uniauth sa basic 认证 的 用户名 | saadmin
+ UNIAUTH_BASIC_AUTH_PASSWORD | uniauth sa basic 认证 的 密码 | saadminfoobar
+ - | - | -
+ CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080
+ USER_DATA_SERVICE_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080
+ USER_AUTHZ_SERVICE_SERVER_URL | 授权服务管理接口地址(k8s集群内部地址) | http://user-authorization-sa-svc.user-authorization-service.svc.cluster.local:8080
+ UNIAUTH_SERVER_SA_API_SERVER_URL | Uniauth 管理接口地址(k8s集群内部地址) | http://uniauth-prod-backend.uniauth.svc.cluster.local:9090
+ TPAS_FILE_API_URL | 文件服务接口地址(k8s集群内部地址)<br/>默认:minio文件服务 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/file/minio
- | - | -
- USER_API_SERVER_URL | 用户服务开放接口地址(k8s集群内部地址) | http://user-data-service-poa-svc.user-data-service.svc.cluster.local:8080
- USER_AUTHZ_API_SERVER_URL | 授权服务开放接口地址(k8s集群内部地址) | http://user-authorization-poa-svc.user-authorization-service.svc.cluster.local:8080
- COMMUNICATE_API_SERVER_URL | 通信服务开放接口地址(k8s集群内部地址) | http://communicate-center-poa-svc.communicate-center.svc.cluster.local:8080
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
+
* thirdparty-agent-service 下的 thirdparty-agent-service
SMS_ALIYUN_REGION_ID | 区域 | cn-hangzhou
SMS_ALIYUN_ACCESS_KEY_ID | 阿里云短信服务的帐号 |
SMS_ALIYUN_ACCESS_SECRET | 阿里云短信服务的密钥 |
+ - | - | -
+ FACE_AIFACE_AUTOCONFIGURE_ENABLED | 新开普人脸开启开关 | true、false
+ FACE_AIFACE_URL | 新开普人脸地址 |
+ FACE_AIFACE_APPKEY | app key |
+ FACE_AIFACE_APPSECRET | app secret |
+ FACE_AIFACE_SECRETKEY | secret key |
+ FACE_AIFACE_TERM_CODE | term code |
+ - | - | -
+ FACE_AIPFACE_AUTOCONFIGURE_ENABLED | 百度人脸开启开关 | true、false
+ FACE_AIPFACE_APPID | app id |
+ FACE_AIPFACE_APIKEY | app key |
+ FACE_AIPFACE_SECRETKEY | secret key |
+ FACE_AIPFACE_GROUPIDLIST | 组ID,多个用逗号分隔,最多20个 |
+
Secret,agent-service-env-secret
CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080
- | - | -
TPAS_FILE_API_URL | 文件服务接口地址(k8s集群内部地址)<br/>默认:minio文件服务 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/file/minio
+ - | - | -
+ FILE_SERVER_TYPE | 文件服务类型 | minio
+ FILE_SERVER_URL | 文件服务地址(外网地址) | https://authx-minio.paas.xxx.edu.cn
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
* user-data-service 下的 user-data-service-goa
JOBS_RABBITMQ_ACCOUNTUSERSVC2JOBSSYNCPASSWORDRABBITSENDER_ENABLED | 是否同步密码(明文密码)到 jobs 的 MQ | true、false
JOBS_RABBITMQ_ORGANIZATIONUSERSVC2JOBSRABBITSENDER_ENABLED | 是否同步组织机构数据至 jobs 的 MQ | true、false
JOBS_RABBITMQ_GROUPUSERSVC2JOBSRABBITSENDER_ENABLED | 是否同步用户组数据至 jobs 的 MQ | true、false
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
* user-data-service 下的 user-data-service-biz
- | - | -
CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080
- | - | -
+ USER_AUTHZ_SERVICE_SERVER_URL | 授权服务管理接口地址(k8s集群内部地址) | http://user-authorization-sa-svc.user-authorization-service.svc.cluster.local:8080
+ - | - | -
TPAS_FILE_API_URL | 文件服务接口地址(k8s集群内部地址)<br/>默认:minio文件服务 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/file/minio
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
* user-authorization-service 下的 user-authorization-service-poa
key | 说明 | 配置示例
- | - | -
USER_DATA_SERVICE_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
* user-authorization-service 下的 user-authorization-service-sa
key | 说明 | 配置示例
- | - | -
- 暂无 | |
+ USER_AUTHORIZATION_SA_USER_RABBITMQ_CONSUMER_ENABLED | 是否开启用户数据订阅 | true
+ USER_AUTHORIZATION_SA_USER_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ USER_AUTHORIZATION_SA_USER_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ USER_AUTHORIZATION_SA_USER_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ USER_AUTHORIZATION_SA_USER_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
* cas-server 下的 cas-server-sa-api
FEDERATION_REFRESH_REDIS_TIMER_ENABLED | 是否定时刷新联合登录帐号绑定数据<br/>默认:true | true、false
- | - | -
USER_DATA_SERVICE_SA_API_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
* cas-server 下的 cas-server-security-engine
CAS_AUTHN_TOKEN_CRYPTO_SIGNING_KEY | jwt格式的ticket的签名密钥 | `(@<rhnPaUYKC_k770*DuWwYQ_#Zc#8c(2rB?kae)rN)>K7qy)awCjxp$L653Mf$2`
SPRING_THYMELEAF_PREFIX | 登录页面UI的代码目录 | classpath:/templates/themes/classic/
- | - | -
- CASSERVER_FEDERATION_QQ_ENABLED | 联合登录 QQ,是否启用 | true、false
- CASSERVER_FEDERATION_QQ_APPID | 联合登录 QQ,appid |
- CASSERVER_FEDERATION_QQ_APPKEY | 联合登录 QQ,appkey |
- - | - | -
- CASSERVER_FEDERATION_OPENWEIXIN_ENABLED | 联合登录 微信,是否启用 | true、false
- CASSERVER_FEDERATION_OPENWEIXIN_APPID | 联合登录 微信,appid |
- CASSERVER_FEDERATION_OPENWEIXIN_APPSECRET | 联合登录 微信,appsecret |
- - | - | -
- CASSERVER_FEDERATION_WORKWEIXIN_ENABLED | 联合登录 企业微信,是否启用 | true、false
- CASSERVER_FEDERATION_WORKWEIXIN_CORPID | 联合登录 企业微信,企业ID |
- CASSERVER_FEDERATION_WORKWEIXIN_AGENTID | 联合登录 企业微信,应用AgentId |
- CASSERVER_FEDERATION_WORKWEIXIN_SECRET | 联合登录 企业微信,Secret |
- - | - | -
- CASSERVER_FEDERATION_ALIPAY_ENABLED | 联合登录 支付宝,是否启用 | true、false
- CASSERVER_FEDERATION_ALIPAY_APPID | 联合登录 支付宝,appid |
- CASSERVER_FEDERATION_ALIPAY_APPPRIVATEKEY | 联合登录 支付宝,应用私钥 |
- CASSERVER_FEDERATION_ALIPAY_ALIPAYPUBLICKEY | 联合登录 支付宝,支付宝公钥 |
- - | - | -
CASSERVER_JWT_ISS | idToken 签发者标识 | cas.paas.xxx.edu.cn
CASSERVER_JWT_PRIVATE_KEY_PEM_PKCS8 | idToken 签名私钥(pkcs8),参考 certs/jwt/readme.md 生成公私钥pem |
CASSERVER_JWT_PUBLIC_KEY_PEM | idToken 签名公钥,参考 certs/jwt/readme.md 生成公私钥pem |
CASSERVERSITE_PASSWORDLESS_SMS_FROM | 动态密码的短信发送者 | 认证中心
CASSERVERSITE_PASSWORDLESS_SMS_TEXT_TEMPLATE | 动态密码的短信模板 | 【认证中心】您正在登录统一身份认证,本次登录的动态密码为{token},有效期5分钟,请尽快完成登录。
- | - | -
+ SUPERAPP_TOKEN_SIGNING_KEY_URL | TOKEN认证验签公钥地址(k8s集群内部地址) | http://token-server-svc.token-server.svc.cluster.local:8080/token/jwt/publicKey
+ - | - | -
TPAS_AGENT_SERVICE_SERVER_URL | 代理服务接口地址(k8s集群内部地址) | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080
TPAS_AGENT_SERVICE_SMS_SENDER_PATH | 短信发送服务地址<br/>console:控制台输出,默认<br/>aliyun:阿里云短信服务<br/>其他,支持学校定制接口 | /api/v1/tpas/sms/console/send
TPAS_AGENT_SERVICE_FILE_PATH | 文件服务地址<br/>默认:minio文件服务 | /api/v1/tpas/file/minio
- | - | -
USER_AUTHZ_SERVICE_SA_API_SERVER_URL | 授权服务管理接口地址(k8s集群内部地址) | http://user-authorization-sa-svc.user-authorization-service.svc.cluster.local:8080
- | - | -
- SUPERAPP_TOKEN_SIGNING_KEY_URL | TOKEN认证验签公钥地址(外部访问地址) | https://token.paas.xxx.edu.cn/jwt/publicKey
+ ATTEST_SERVER_URL | 身份验证服务地址(k8s集群内部地址) | http://attest-server-svc.attest-server.svc.cluster.local:8080/attest
+ - | - | -
+ IPADDR_SERVER_URL | IP地址服务 | http://ipaddr.ipaddr.svc.cluster.local:9090
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
* cas-server 下的 cas-server-site-scheme
key | 说明 | 配置示例
- | - | -
- TOKEN_SERVER_PREFIX | TOKEN认证地址(外部访问地址) | https://token.paas.xxx.edu.cn
+ TOKEN_SERVER_PREFIX | TOKEN认证地址(外部访问地址) | https://token.paas.xxx.edu.cn/token
- | - | -
TOKEN_SERVER_SECURITY_JWT_ISS | idToken签发者标识 | token.paas.xxx.edu.cn
TOKEN_SERVER_SECURITY_JWT_EXPIRATION | idToken 失效时长<br/>默认:30天 | 2592000
TOKEN_SERVER_PASSWORDLESS_SMS_TEXT_TEMPLATE | 动态密码的短信模板 | 【认证中心】您正在登录统一身份认证,本次登录的动态密码为{token},有效期5分钟,请尽快完成登录。
TOKEN_SERVER_PASSWORDLESS_SMS_FROM | 动态密码的短信发送者 | 认证中心
- | - | -
+ GETUI_SERVER_URL | 个推服务地址 | https://openapi-gy.getui.com
+ GETUI_GEYAN_APP_ID | 个推,个验 app id |
+ GETUI_GEYAN_APP_KEY | 个推,个验 app key |
+ GETUI_GEYAN_APP_SECRET | 个推,个验 app secret |
+ GETUI_GEYAN_MASTER_SECRET | 个推,个验 master secret |
+ - | - | -
MESSAGECENTER_ENABLED | 是否对接消息平台<br/>默认:false| true、false
MESSAGECENTER_APP_ID | 应用ID(由消息平台生成)|
- MESSAGECENTER_MESSAGE_TYPE_CODE_APP_LOGIN | 消息类型代码(APP 登录) | APP_LOGIN
+ MESSAGECENTER_MESSAGE_TYPE_CODE_APP_LOGIN | 消息类型代码,APP 登录 | APP_LOGIN
+ MESSAGECENTER_MESSAGE_TYPE_CODE_PASSWORD | 消息类型代码,密码修改登出 | PASSWORD
+ MESSAGECENTER_MESSAGE_TYPE_CODE_APPPUSH | 消息类型代码,消息推送 | APPPUSH
- | - | -
POA_SERVER_URL | POA网关地址(外部访问地址) | https://poa.paas.xxx.edu.cn
POA_CLIENT_ID | client id |
CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080
- | - | -
USER_DATA_SERVICE_SA_API_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080
+ - | - | -
+ ATTEST_SERVER_URL | 身份验证服务地址(k8s集群内部地址) | http://attest-server-svc.attest-server.svc.cluster.local:8080/attest
+ - | - | -
+ IPADDR_SERVER_URL | IP地址服务 | http://ipaddr.ipaddr.svc.cluster.local:9090
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
+ - | - | -
+ USER_RABBITMQ_ENABLED | 是否开启用户数据的消息接收 | true
+ USER_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ USER_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ USER_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ USER_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
+ USER_RABBITMQ_CONSUMER_ENABLED | 是否开启用户数据订阅 | true
* personal-security-center 下的 personal-security-center-bff
key | 说明 | 配置示例
- | - | -
- PERSONAL_SECURITY_CENTER_SERVER_PREFIX | 个人安全中心访问地址(外部访问地址) | https://personal-security-center.paas.xxx.edu.cn
- CAS_SERVER_PREFIX | CAS认证地址(外部访问地址) | https://cas.paas.xxx.edu.cn
+ PERSONAL_SECURITY_CENTER_SERVER_PREFIX | 个人安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn/personal
+ CAS_SERVER_PREFIX | CAS认证地址(外部访问地址) | https://cas.paas.xxx.edu.cn/cas
- | - | -
- CASSERVER_SITE_SERVER_URL | CAS认证接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080
+ CASSERVER_SITE_SERVER_URL | CAS认证接口地址(k8s集群内部地址) | http://cas-server-site-webapp-svc.cas-server.svc.cluster.local:8080/cas
- | - | -
CASSERVER_SA_API_SERVER_URL | CAS认证服务管理接口地址(k8s集群内部地址) | http://cas-server-sa-api-svc.cas-server.svc.cluster.local:8080
- | - | -
TPAS_FILE_API_URL | 文件服务接口地址(k8s集群内部地址)<br/>默认:minio文件服务 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/file/minio
TPAS_MAIL_API_URL | 邮件发送服务地址(k8s集群内部地址)<br/>console:控制台输出,默认<br/>smtp:SMTP服务<br/>其他,支持学校定制接口 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/mail/smtp
TPAS_SMS_API_URL | 短信发送服务地址(k8s集群内部地址)<br/>console:控制台输出,默认<br/>aliyun:阿里云短信服务<br/>其他,支持学校定制接口 | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080/api/v1/tpas/sms/console
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
+
ConfigMap,personal-security-center-bff-template-env
邮件内容模板、短信内容模板
key | 说明 | 配置示例
- | - | -
- APP_SERVER_HOST_URL | 个人安全中心访问地址(外部访问地址) | http://personal-security-center.paas.xxx.edu.cn
- CAS_SERVER_HOST_URL | CAS认证地址(外部访问地址) | https://cas.paas.xxx.edu.cn
+ APP_SERVER_HOST_URL | 个人安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn/personal
+ CAS_SERVER_HOST_URL | CAS认证地址(外部访问地址) | https://cas.paas.xxx.edu.cn/cas
+ - | - | -
+ APPLICATION_INDEX_REDIRECT_URI | 网关服务的默认首页,安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn
+ - | - | -
+ USER_DATA_SERVICE_SERVER_URL | 用户服务开放接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080
- | - | -
- APPLICATION_INDEX_REDIRECT_URI | 网关服务的默认首页,安全中心访问地址(外部访问地址) | http://security-center.paas.xxx.edu.cn
+ USER_AUTHZ_SERVICE_SERVER_URL | 授权服务管理接口地址(k8s集群内部地址) | http://user-authorization-sa-svc.user-authorization-service.svc.cluster.local:8080
* personal-security-center 下的 security-center-ui
key | 说明 | 配置示例
- | - | -
- RESOURCE_PREFIX | LOGO、FAVICON 等资源地址 | http://authx-minio.paas.xxx.edu.cn/security-center-ui
- MAIN_SERVER | 安全中心访问地址(外部访问地址) | http://security-center.paas.xxx.edu.cn
+ RESOURCE_PREFIX | LOGO、FAVICON 等资源地址 | https://authx-minio.paas.xxx.edu.cn/security-center-ui
+ MAIN_SERVER | 安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn
- | - | -
- PERSONAL_CENTER_API | 后端API,个人安全中心访问地址(外部访问地址) | http://personal-security-center.paas.xxx.edu.cn
+ PERSONAL_CENTER_API | 后端API,个人安全中心访问地址(外部访问地址) | https://authx-service.paas.xxx.edu.cn/personal
+ - | - | -
+ AUTH_TYPE | 认证对接方式,可选 cas,uniauth | cas
- | - | -
AUTH_CAS | CAS认证地址(外部访问地址) | http://cas.paas.xxx.edu.cn/cas
JWT_ISS | JWT Token 签名方标识 | http://cas.paas.xxx.edu.cn/cas
JWT_SECRET | JWT Token 签名密钥 | 固定值,`(@<rhnPaUYKC_k770*DuWwYQ_#Zc#8c(2rB?kae)rN)>K7qy)awCjxp$L653Mf$2`
+ - | - | -
+ UNIAUTH_IDTOKEN | uniauth认证地址(外部访问地址) | https://uniauth.paas.xxx.edu.cn/idtoken
+ UNIAUTH_IDTOKEN_ISS | Id Token 签名方标识 | uniauth
+ UNIAUTH_CLIENT_ID | client id | 22
+
+ 注:
+ AUTH_TYPE 为 cas 时,配置 AUTH_CAS、JWT_ISS、JWT_SECRET
+ AUTH_TYPE 为 uniauth 时,配置 UNIAUTH_IDTOKEN、UNIAUTH_IDTOKEN_ISS、UNIAUTH_CLIENT_ID
+
+
+* attest-server 下的 attest-server
+
+ ConfigMap,attest-server-env
+
+ key | 说明 | 配置示例
+ - | - | -
+ POA_SERVER_URL | POA网关地址(外部访问地址) | https://poa.paas.xxx.edu.cn
+ POA_CLIENT_ID | client id |
+ POA_CLIENT_SECRET | client secret |
+ POA_SCOPES | api 接口的 scope | appPush:v1:apppushByMessageType
+ - | - | -
+ ATTEST_SERVER_PREFIX | 身份验证服务地址(外部访问地址) | https://attest.paas.xxx.edu.cn/attest
+ - | - | -
+ ATTEST_SERVER_SECUREPHONE_SMS_TEXT_TEMPLATE | 短信内容模板 | 【认证服务】{name}:您正在进行验证身份,验证码为{code},有效期5分钟,请尽快完成验证。
+ ATTEST_SERVER_SECUREPHONE_SMS_FROM | 短信内容标题 | 认证服务
+ - | - | -
+ ATTEST_SERVER_SECUREEMAIL_MAIL_TEXT_TEMPLATE | 邮件内容模板 | 【认证服务】{name}:您正在进行验证身份,验证码为{code},有效期5分钟,请尽快完成验证。
+ ATTEST_SERVER_SECUREEMAIL_MAIL_FROM | 邮件内容标题 | 认证服务
+ - | - | -
+ ATTEST_SERVER_FACEVERIFY_SUPERAPP_URL_SCHEME | 在超级APP 中唤起人脸识别的 URL Scheme | superapp
+ - | - | -
+ TOKEN_SERVER_TOKEN_SIGNING_KEY_URL | TOKEN认证验签公钥地址(k8s集群内部地址) | http://token-server-svc.token-server.svc.cluster.local:8080/token/jwt/publicKey
+ - | - | -
+ TPAS_AGENT_SERVICE_SERVER_URL | 代理服务接口地址(k8s集群内部地址) | http://agent-service-svc.thirdparty-agent-service.svc.cluster.local:8080
+ TPAS_AGENT_SERVICE_SMS_SENDER_PATH | 短信发送服务地址<br/>console:控制台输出,默认<br/>aliyun:阿里云短信服务<br/>其他,支持学校定制接口 | /api/v1/tpas/sms/console/send
+ TPAS_AGENT_SERVICE_MAIL_SENDER_PATH | 邮件发送服务地址<br/>console:控制台输出,默认<br/>smtp:SMTP服务<br/>其他,支持学校定制接口 | /api/v1/tpas/mail/console/send
+ - | - | -
+ USER_DATA_SERVICE_SA_API_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080
+ - | - | -
+ TOKEN_SERVER_SERVER_URL | Token认证服务接口地址(k8s集群内部地址)| http://token-server-svc.token-server.svc.cluster.local:8080/token
+
+
+* authx-log 下的 authx-log-sa
+
+ ConfigMap,authx-log-sa-env
+
+ key | 说明 | 配置示例
+ - | - | -
+ USER_DATA_SERVICE_SERVER_URL | 用户服务管理接口地址(k8s集群内部地址) | http://user-data-service-goa-svc.user-data-service.svc.cluster.local:8080
+ - | - | -
+ IPADDR_SERVER_URL | IP地址服务 | http://ipaddr.ipaddr.svc.cluster.local:9090
+ - | - | -
+ AUTHX_LOG_ENABLED | 是否开启日志推送 | true
+ AUTHX_LOG_RABBITMQ_HOST | rabbit mq 服务地址(k8s集群内部地址) | rabbitmq-server.authx-service.svc.cluster.local
+ AUTHX_LOG_RABBITMQ_PORT | rabbit mq 服务端口 | 5672
+ AUTHX_LOG_RABBITMQ_USERNAME | rabbit mq 服务用户 |
+ AUTHX_LOG_RABBITMQ_PASSWORD | rabbit mq 服务密码 |
## 开始安装
- | -
用户服务 user-data-service | user
授权服务 user-authorization-service | user_authz
+ - | -
+ 日志服务 authx-log | authx_log
+ - | -
认证服务 cas-server | cas_server
认证服务(APP适用) token-server | token_server
- | -
- 第三方代理服务 thridparty-agent-service | agent_service
+ (可选)第三方代理服务 thridparty-agent-service | agent_service
- | -
v4认证迁移数据 | tmp_data
```
create user 'user'@'%' identified with mysql_native_password by 'your_password';
create user 'user_authz'@'%' identified with mysql_native_password by 'your_password';
+
+ create user 'authx_log'@'%' identified with mysql_native_password by 'your_password';
+
create user 'cas_server'@'%' identified with mysql_native_password by 'your_password';
create user 'token_server'@'%' identified with mysql_native_password by 'your_password';
- | -
用户服务 user-data-service | user
授权服务 user-authorization-service | user_authz
+ - | -
+ 日志服务 authx-log | authx_log
+ - | -
认证服务 cas-server | cas_server
认证服务(APP适用) token-server | token_server
- | -
- 第三方代理服务 thridparty-agent-service | agent_service
+ (可选)第三方代理服务 thridparty-agent-service | agent_service
- | -
v4认证迁移数据 | tmp_data
```
create database `user` DEFAULT CHARSET utf8 COLLATE utf8_general_ci;
create database `user_authz` DEFAULT CHARSET utf8 COLLATE utf8_general_ci;
+
+ create database `authx_log` DEFAULT CHARSET utf8 COLLATE utf8_general_ci;
+
create database `cas_server` DEFAULT CHARSET utf8 COLLATE utf8_general_ci;
create database `token_server` DEFAULT CHARSET utf8 COLLATE utf8_general_ci;
```
grant all privileges on `user`.* to 'user'@'%' with grant option;
grant all privileges on `user_authz`.* to 'user_authz'@'%' with grant option;
+
+ grant all privileges on `authx_log`.* to 'authx_log'@'%' with grant option;
+
grant all privileges on `cas_server`.* to 'cas_server'@'%' with grant option;
grant all privileges on `token_server`.* to 'token_server'@'%' with grant option;
TODO: 修改 bff、zuul 配置
TODO: 修改 security-center-ui 配置
+ 7.attest-server
+
+ 此为 身份验证服务
+
+ 提供双因子、二次认证时,进行用户的身份验证,包括 APP推送验证、安全手机验证、安全邮箱验证、人脸识别验证 等能力
+
+ 8.authx-log
+
+ 此为 日志服务
+
+ 收集 用户、认证、授权 的管理、使用过程中产生的 操作日志、登录日志;同时,提供日志查询、基于日志的统计功能
+
9.jobs-server
此为 任务调度服务
cas-server
token-server
-
+
personal-security-center
+ attest-server
+
+ authx-log
+
jobs-server
```
先修改 脚本中的域名(如果存在)
+* 必须,1.authx0service/10.0.init.sql
+
+ 包括,
+ 安全中心的认证对接配置
+ 云平台,管理接口的路由配置
+ 云平台,管理功能的菜单配置
* 可选,1.authx-service/10.0.tmp.sql
若通过交换同步组织机构、帐号数据的,须执行该数据库脚本
-
-* 可选,1.authx-service/10.1.init-flow.sql
-
- 若部署了 流程平台 的产品
-
- 可默认创建几个管理员帐号,以及初始授权
-
Code Review / institute / deploy-authx-service.git / commitdiff
