From 0959c10c3e32155067e2dfbd5043777ef0498d5b Mon Sep 17 00:00:00 2001 From: =?utf8?q?=E5=88=98=E6=B4=AA=E9=9D=92?= Date: Fri, 20 May 2022 23:29:32 +0800 Subject: [PATCH] =?utf8?q?docs:=20V1.5=20=E5=AE=89=E8=A3=85=E9=83=A8?= =?utf8?q?=E7=BD=B2=E6=96=87=E6=A1=A3?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit --- ...50\345\225\206\345\272\227\357\274\211.md" | 787 ++++++++++++++++++ 1 file changed, 787 insertions(+) create mode 100644 "deploy-manifests/charts/1.5.0000.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214\357\274\210\345\237\272\344\272\216\345\272\224\347\224\250\345\225\206\345\272\227\357\274\211.md" diff --git "a/deploy-manifests/charts/1.5.0000.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214\357\274\210\345\237\272\344\272\216\345\272\224\347\224\250\345\225\206\345\272\227\357\274\211.md" "b/deploy-manifests/charts/1.5.0000.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214\357\274\210\345\237\272\344\272\216\345\272\224\347\224\250\345\225\206\345\272\227\357\274\211.md" new file mode 100644 index 0000000..1fd966b --- /dev/null +++ "b/deploy-manifests/charts/1.5.0000.\350\256\244\350\257\201\346\216\210\346\235\203\346\234\215\345\212\241\345\256\211\350\243\205\351\203\250\347\275\262\346\211\213\345\206\214\357\274\210\345\237\272\344\272\216\345\272\224\347\224\250\345\225\206\345\272\227\357\274\211.md" @@ -0,0 +1,787 @@ + +# 安装部署手册 + +**业务中台之认证授权服务** + + +* 修订历史 + +版本 | 作者 | 日期 | 备注 +- | - | - | - +v1 | 刘洪青 | 2021-05-15 | 初稿 +v1.4 | 刘洪青 | 2021-09-18 | V1.4 版本的部署更新 +v1.5 | 刘洪青 | 2021-12-28 | V1.5 版本的部署更新 + + +[TOC] + + +## 部署变更说明 + +**仅列举了一些重要的、对外部存在影响的变更** + + +### V1.3 + +1. 域名变更 + +新增,域名 authx-management,认证、用户、授权管理功能的前端UI的外网域名访问 + + +### V1.4 + +1. 数据库用户变更 + +新增,authx_log +(可选)移除,agent_service + +2. 镜像变更 + +新增,authx-log +新增,attest-server + +3. 域名变更 + +新增,域名 authx-service,将 personal-security-center、security-center、以及 authx-management 合并 +废弃,域名 personal-security-center,合并至 域名 authx-service +废弃,域名 security-center,合并至 域名 authx-service +废弃,域名 authx-management,现合并至 authx-service +废弃,域名 token,合并至 域名 cas + +4. Context Path 变更 + +变更,personal-security-center-zuul,context path 更新为 /personal +变更,token-server,context path 更新为 /token + +5. 访问地址变更 + +变更,用户认证授权管理前端UI,`https://admin-platform.paas.xxx.edu.cn/authx-management` 变更为 `https://authx-service.paas.xxx.edu.cn/authx-management` +变更,安全中心后端API,`https://personal-security-center.paas.xxx.edu.cn` 变更为 `https://authx-service.paas.xxx.edu.cn/personal` +变更,Token 认证,`https://token.paas.xxx.edu.cn` 变更为 `https://cas.pass.xxx.edu.cn/token` + +### V1.5 + +1. 数据初始化,采用 应用商店下的 authx-service-init 进行处理 + +2. 安全中心后端API,增加消息模板的配置 `EMAIL_TEMPLATE_USER_SECURITY_QUESTION_SEND_CODE`,`SMS_TEMPLATE_USER_SECURITY_QUESTION_SEND_CODE` + + +## 产品依赖 + +* minio + +请使用 应用商店 部署 + +* ipaddr + +请使用 应用商店 部署 + +* platform openapi + +确保已部署,或 请使用 应用商店 部署 + + +## 安装准备 + +### MySQL 初始配置及相关基础命令 + +数据文件目录:/var/lib/mysql + +* 安装完成后,调整 mysql 服务的配置参数 + + 查看当前配置:show variables; + + 最大连接数 max_connections + 操作日志的保留时长 binlog_expire_logs_seconds + + 参考命令: + ``` + set global max_connections = 1000; + set persist max_connections = 1000; + + // 7天 86400 * 7 + // 1天 86400 + set global binlog_expire_logs_seconds = 86400 * 7; + set persist binlog_expire_logs_seconds = 86400 * 7; + ``` + + 时区设置 + + 确保MySQL 的时区设置为 GMT+8 + + +* 创建数据库帐号 + + 参考命令: + ``` + create user 'user'@'%' identified with mysql_native_password by 'your_password'; + ``` + + +* 创建 database + + 参考命令: + ``` + create database `user` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + ``` + + +* 授予权限 + + 将 database 的权限授予对应的帐号 + + 参考命令: + ``` + grant all privileges on `user`.* to 'user'@'%' with grant option; + ``` + + +* 授予 SUPER 权限 + 由于 部分帐号 需要创建 触发器,故,需要 SUPER 权限 + 涉及帐号有 user、user_authz、cas_server + + 参考命令: + ``` + grant SUPER on *.* to 'user'@'%'; + grant SUPER on *.* to 'user_authz'@'%'; + grant SUPER on *.* to 'cas_server'@'%'; + + grant SUPER on *.* to 'tmp_data'@'%'; + ``` + + +* 备份与还原 + + 参考命令: + 备份: + ``` + mysqldump -u root -p cas_server > cas_server.sql + mysqldump -u root -p token_server > token_server.sql + mysqldump -u root -p user > user.sql + mysqldump -u root -p user_authz > user_authz.sql + mysqldump -u root -p authx_log > authx_log.sql + ``` + + 还原: + ``` + mysql -u root -p cas_server < cas_server.sql + mysql -u root -p token_server < token_server.sql + mysql -u root -p user < user.sql + mysql -u root -p user_authz < user_authz.sql + mysql -u root -p authx_log < authx_log.sql + ``` + + +### Harbor 准备及相关说明 + +* 创建 devops 帐号 + + 用于 rancher 部署时拉取镜像 + + 用户管理 下 创建用户 + 如 devops + + +* 镜像同步 + + 从 https://harbor.supwisdom.com 中同步镜像 + + 仓库管理 下 新建目标 + ``` + supwisdom https://harbor.supwisdom.com rancher.devops / PWMgP85qiLFC + ``` + + 同步管理 下 新建规则 + + ``` + thirdparty-agent-service thirdparty-agent-service/* + + authx-service authx-service/* + + authx-log authx-log/* + + user-data-service goa/* + user-authorization-service user-authorization-service/* + personal-security-center personal-security-center/* + + jobs-server jobs-server/* + + cas-server cas-server/* + token-server token-server/* + attest-server attest-server/* + ``` + + 同步规则,创建完成后,进行镜像同步 + + 选择某个同步规则,点击 同步,等待任务完成 + + +* 授予 devops 帐号 对各个项目的 访客 权限 + + 项目 下,点击 项目名称,进入到 成员,添加用户,查找用户 devops,选择角色 访客,确定,添加即可 + + +### Rancher 准备及相关说明 + +* 商店设置 + + 进入 全局 - 集群(具体名称视项目安装而定) - 工具 - 商店设置,添加应用商店 + + 名称:`supwisdom` + 商店URL地址:`https://e.coding.net/supwisdom/charts/charts.git` + 分支:`master` + 范围:选择`cluster` + + +* 创建项目 + + 进入 全局 - 集群(具体名称视项目安装而定) - 项目/命名空间,添加项目 + + 输入 项目名称,保存 + + 本产品所须创建的项目名称为:`authx-platform` + + +* 启动应用 + + 进入 全局 - 集群(具体名称视项目安装而定) - 项目(某个项目) + + 进入 应用商店 + + 点击 启动,在应用列表中 找到 相关应用 + + 点击 该应用,选择模板版本(一般选择最新的版本),根据情况设置 配置选项,启动 即可 + + 本产品所须的相关应用清单: + ``` + minio Minio文件服务 + + agent-service Agent Service 代理服务 + + authx-service 用户授权相关服务 + + jobs-server 同步服务 + + cas-server 认证(CAS 认证 + Token Server + 身份认证服务) + ``` + +* 确定命名空间 + + 本产品安装过程中所须的命名空间如下: + + ``` + authx-minio Minio文件服务 + + agent-service Agent Service 代理服务 + + authx-service 用户授权相关服务 + + jobs-server 同步服务 + + cas-server 认证(CAS 认证 + Token Server + 身份认证服务) + ``` + + +### 域名准备 + +* 确定域名 + + 首先明确是否使用泛域名,如:`*.paas.xxx.edu.cn`,或 直接使用学校域名 `xxx.edu.cn` + + 本产品安装需要的域名如下: + ``` + authx-minio.paas.xxx.edu.cn 文件服务 + + authx-service.paas.xxx.edu.cn 用户授权服务(包含 后台管理UI + 安全中心UI + 安全中心后端) + + cas.paas.xxx.edu.cn 认证(视具体情况,可调整;包含 CAS 认证 + Token Server + 身份认证服务) + ``` + + 如果使用 学校域名,则去除 .paas 即可,同时申请开通相关域名 + + + +## 开始安装 + +### 数据库安装(略) + +* 确定服务地址、端口 + + 明确MySQL 数据库的 IP、端口 + + +### 数据库创建 + +* 数据库帐号 + + 以下是 各服务对应的数据库帐号 + + 服务 | 数据库帐号 + - | - + 日志服务 authx-log | authx_log + 用户服务 user-data-service | user + 授权服务 user-authorization-service | user_authz + - | - + 认证服务 cas-server | cas_server + 认证服务(APP适用) token-server | token_server + - | - + v4认证迁移数据 | tmp_data + + 命令: + **请修改命令中的 `your_password` 为实际的数据库用户的密码** + ``` + create user 'authx_log'@'%' identified with mysql_native_password by 'your_password'; + create user 'user'@'%' identified with mysql_native_password by 'your_password'; + create user 'user_authz'@'%' identified with mysql_native_password by 'your_password'; + + create user 'cas_server'@'%' identified with mysql_native_password by 'your_password'; + create user 'token_server'@'%' identified with mysql_native_password by 'your_password'; + + create user 'tmp_data'@'%' identified with mysql_native_password by 'your_password'; + ``` + + +* 数据库 + + 以下是 各服务对应的数据库 + + 服务 | 数据库 + - | - + 日志服务 authx-log | authx_log + 用户服务 user-data-service | user + 授权服务 user-authorization-service | user_authz + - | - + 认证服务 cas-server | cas_server + 认证服务(APP适用) token-server | token_server + - | - + v4认证迁移数据 | tmp_data + + 命令: + ``` + create database `authx_log` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + create database `user` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + create database `user_authz` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + + create database `cas_server` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + create database `token_server` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + + create database `tmp_data` DEFAULT CHARSET utf8 COLLATE utf8_general_ci; + ``` + + +* 数据库权限授予 + + 将 database 的权限授予对应的帐号 + + 命令: + ``` + grant all privileges on `authx_log`.* to 'authx_log'@'%' with grant option; + grant all privileges on `user`.* to 'user'@'%' with grant option; + grant all privileges on `user_authz`.* to 'user_authz'@'%' with grant option; + + grant all privileges on `cas_server`.* to 'cas_server'@'%' with grant option; + grant all privileges on `token_server`.* to 'token_server'@'%' with grant option; + + grant all privileges on `tmp_data`.* to 'tmp_data'@'%' with grant option; + ``` + + +* SUPER 权限授予 + + 由于 部分帐号 需要创建 触发器,故,需要 SUPER 权限 + 涉及帐号有 user、user_authz、cas_server + + 命令: + ``` + grant SUPER on *.* to 'user'@'%'; + grant SUPER on *.* to 'user_authz'@'%'; + + grant SUPER on *.* to 'cas_server'@'%'; + + grant SUPER on *.* to 'tmp_data'@'%'; + ``` + + +* 用户数据的交换帐号 + + **待部署完成后操作** + + 如果,存在数据交换 须将组织机构数据、帐号数据 同步到用户服务的数据库的 + 则,需要创建一个 交换用的数据库帐号(user_trans),并为该帐号授予 表 user.TMP_ORGANIZATION_ORIGIN、user.TMP_ACCOUNT_ORIGIN 的读写操作的权限 + + 命令: + ``` + create user 'user_trans'@'%' identified with mysql_native_password by 'your_password'; + + grant select on `user`.`TMP_ORGANIZATION_ORIGIN` to 'user_trans'@'%'; + grant insert on `user`.`TMP_ORGANIZATION_ORIGIN` to 'user_trans'@'%'; + grant update on `user`.`TMP_ORGANIZATION_ORIGIN` to 'user_trans'@'%'; + grant delete on `user`.`TMP_ORGANIZATION_ORIGIN` to 'user_trans'@'%'; + + grant select on `user`.`TMP_ACCOUNT_ORIGIN` to 'user_trans'@'%'; + grant insert on `user`.`TMP_ACCOUNT_ORIGIN` to 'user_trans'@'%'; + grant update on `user`.`TMP_ACCOUNT_ORIGIN` to 'user_trans'@'%'; + grant delete on `user`.`TMP_ACCOUNT_ORIGIN` to 'user_trans'@'%'; + + grant select on `user`.`TMP_ORGANIZATION_TRANS` to 'user_trans'@'%'; + grant insert on `user`.`TMP_ORGANIZATION_TRANS` to 'user_trans'@'%'; + grant update on `user`.`TMP_ORGANIZATION_TRANS` to 'user_trans'@'%'; + grant delete on `user`.`TMP_ORGANIZATION_TRANS` to 'user_trans'@'%'; + + grant select on `user`.`TMP_ACCOUNT_TRANS` to 'user_trans'@'%'; + grant insert on `user`.`TMP_ACCOUNT_TRANS` to 'user_trans'@'%'; + grant update on `user`.`TMP_ACCOUNT_TRANS` to 'user_trans'@'%'; + grant delete on `user`.`TMP_ACCOUNT_TRANS` to 'user_trans'@'%'; + ``` + + +### rancher 部署(应用商店) + +#### minio + +命名空间: authx-minio + +* MINIO配置 + 模式: standalone + + Access Key: `1y8N@8R@a_2u` + Secret Key: `8pxlIe9#lN7Q` + + 域名: `authx-minio.paas.xxx.edu.cn` ,请修改为实际的学校域名 + + Default storageClass: <请选择存储类> + + +#### agent-service + +命名空间: agent-service + +* 文件服务设置 + Minio Url: `http://minio.authx-minio.svc.cluster.local:9000` ,若 minio 的命名空间有调整,请修改 + Minio Access Key: `1y8N@8R@a_2u` + Minio Secret Key: `8pxlIe9#lN7Q` + +* 邮箱服务配置 + 邮件发送模式: smtp + SMTP Host: + SMTP Port: + SMTP Secure Mode: + SMTP 用户名: + SMTP 密码: + SMTP 发件人名称: + +* 短信服务配置 + 短信发送模式: aliyun 对接阿里云的短信服务 + 阿里云短信接口地域: cn-hangzhou + 阿里云短信接口Access Key: + 阿里云短信接口Access Secret: + +* 人脸服务配置 + 可与 新开普人脸平台 或 百度人脸服务 进行对接 + + 人脸登录类型: aiface: 新开普人脸, aipface: 百度人脸 + + **以下配置从 新开普人脸平台 申请** + 新开普人脸服务 Url: + 新开普人脸服务 App Key: + 新开普人脸服务 App Secret: + 新开普人脸服务 Secret Key: + 新开普人脸服务 Term Code: + + **以下配置从 百度开放平台 申请** + 百度人脸服务 App Id: + 百度人脸服务 Api Key: + 百度人脸服务 Secret Key: + 百度人脸服务 组ID: + + +#### authx-service + +命名空间: authx-service + +* REDIS配置 - 安全配置 + Redis密码: `8KuwoslOiuw7H` + + Default Storage Class: <请选择存储类> + +* RABBITMQ配置 - 安全配置 + 用户名: guest + 密码: guest + + +* MYSQL数据库配置 - 服务地址 + MySQL服务 host: <请填写数据库服务的IP地址> + MySQL服务 port: <请填写数据库服务的端口> + +* MYSQL数据库配置 - 用户服务 + + 用户名: `user` ,固定值、或按实际情况修改 + 密码: <请填写创建的数据库用户的密码> + 数据库名: `user` ,固定值、或按实际情况修改 + +* MYSQL数据库配置 - 授权服务 + + 用户名: `user_authz` ,固定值、或按实际情况修改 + 密码: <请填写创建的数据库用户的密码> + 数据库名: `user_authz` ,固定值、或按实际情况修改 + +* MYSQL数据库配置 - 日志服务 + + 用户名: `authx_log` ,固定值、或按实际情况修改 + 密码: <请填写创建的数据库用户的密码> + 数据库名: `authx_log` ,固定值、或按实际情况修改 + + +* 域名全局设置 + + 根域名: `paas..edu.cn` ,请修改为实际的学校域名 + +* 域名配置 - 用户授权服务 + + 子域名: `authx-service` ,若须修改,根据实际情况修改即可 + + +* POA 设置 + + POA网关地址: `http://poa.paas..edu.cn` ,请设置为 poa 网关的外网地址 + POA SA地址: 请设置为 poa-sa 管理接口的 k8s 内部地址(根据实际部署的 POA 进行调整) + + +* 依赖服务 - 文件服务设置 + + Minio外网地址: `http://authx-minio.paas..edu.cn` ,请设置为 minio 的外网地址 + +* 依赖服务 - 认证设置 + + CAS认证地址: `http://cas.paas..edu.cn/cas` ,请设置为 cas 认证的外网地址 + + +* 依赖 API - AGENT SERVICE + + Agent Service API内部地址: `http://agent-service.agent-service.svc.cluster.local:8080` ,固定值,若 agent-service 的命名空间有调整,请修改 + + Agent Service 文件上传路径: `/api/v1/tpas/file/minio` ,一般不用修改 + Agent Service 邮件发送路径: `/api/v1/tpas/mail/smtp` ,一般不用修改 + Agent Service 短信发送路径: `/api/v1/tpas/sms/aliyun` , 若不使用阿里云短信服务,须修改 + Agent Service 人脸服务接口: `/api/v1/tpas/face/aiface` ,新开普人脸 aiface,百度人脸 aipface + +* 依赖 API - CAS SERVER + + CAS内部地址: `http://cas-server-webapp.cas-server.svc.cluster.local:8080/cas` ,固定值,若 cas-server 的命名空间有调整,请修改 + CAS SA API内部地址: `http://cas-server-sa.cas-server.svc.cluster.local:8080` ,固定值,若 cas-server 的命名空间有调整,请修改 + + +#### cas-server + +命名空间: cas-server + +* REDIS配置 - 安全配置 + Redis密码: `8KuwoslOiuw7H` + + Default Storage Class: <请选择存储类> + +* RABBITMQ配置 - 安全配置 + 用户名: guest + 密码: guest + + +* MYSQL数据库配置 - 服务地址 + MySQL服务 host: <请填写数据库服务的IP地址> + MySQL服务 port: <请填写数据库服务的端口> + +* MYSQL数据库配置 - CAS 认证 + + 用户名: `cas_server` ,固定值、或按实际情况修改 + 密码: <请填写创建的数据库用户的密码> + 数据库名: `cas_server` ,固定值、或按实际情况修改 + +* MYSQL数据库配置 - Token Server + + 用户名: `token_server` ,固定值、或按实际情况修改 + 密码: <请填写创建的数据库用户的密码> + 数据库名: `token_server` ,固定值、或按实际情况修改 + + +* 外部RABBITMQ - 连接配置 + + 外部RabbitMQ host: `authx-service-rabbitmq.authx-service.svc.cluster.local` ,连接 authx-service 的rabbitmq, 若 authx-service 的命名空间有调整,请修改 + 外部RabbitMQ port: 5672 + +* RABBITMQ配置 - 安全配置 + + 用户名: guest + 密码: guest + + +* 域名全局设置 + + 根域名: `paas..edu.cn` ,请修改为实际的学校域名 + +* 域名配置 - 认证服务 + + 子域名: `cas` ,若须修改,根据实际情况修改即可 + + +* POA 设置 + + POA网关地址: `https://poa.paas..edu.cn` ,请设置为 poa 网关的外网地址 + POA SA地址: 请设置为 poa-sa 管理接口的 k8s 内部地址(根据实际部署的 POA 进行调整) + + +* 依赖 API - AGENT SERVICE + + Agent Service 内部地址: `http://agent-service.agent-service.svc.cluster.local:8080` ,固定值,若 agent-service 的命名空间有调整,请修改 + + Agent Service 文件上传路径: `/api/v1/tpas/file/minio` ,一般不用修改 + Agent Service 邮件发送路径: `/api/v1/tpas/mail/smtp` ,一般不用修改 + Agent Service 短信发送路径: `/api/v1/tpas/sms/aliyun` , 若不使用阿里云短信服务,须修改 + Agent Service 人脸服务接口: `/api/v1/tpas/face/aiface` ,新开普人脸 aiface,百度人脸 aipface + +* 依赖 API - 用户服务 + + 用户数据API内部地址: `http://authx-service-user-data-service-goa.authx-service.svc.cluster.local:8080` ,固定值,若 authx-service 的命名空间有调整,请修改 + +* 依赖 API - 授权服务 + + 用户授权API内部地址: `http://authx-service-user-authz-service-sa.authx-service.svc.cluster.local:8080` ,固定值,若 authx-service 的命名空间有调整,请修改 + + +* POA CLIENT + + Client Id: 从 POA 进行申请 + Client Secret: 从 POA 进行申请 + + + +* 动态密码 + + 动态密码短信标题: 认证中心,固定值 + 动态密码短信模板: 请修改为合适的短信模板 + +* JWT 公私钥 + + 参考 certs/jwt/readme.md 生成公私钥pem,修改相关配置(请使用与 token-server 一致的公私钥) + + JWT私钥: + JWT公钥: + + +* CAS认证 - 图片验证码 + + 启用图片验证码: 是 or 否 + + +* CAS认证 - 持久卷 + + Default Storage Class: <请选择存储类> + + +* CAS认证 - DATAX数据库配置 + + 数据源JdbcUrl: `jdbc:mysql://authx-service-mysql-server.authx-service.svc.cluster.local:3306/user?serverTimezone=Asia/Shanghai` ,连接 authx-service 的mysql,若 authx-service 的命名空间有调整,请修改 + 数据源用户名: user + 数据源密码: <请填写创建的数据库用户的密码> + + + +* TOKEN SERVER - 消息服务 + + 是否开启消息服务: true or false,默认 false + 消息服务应用ID: 由消息服务提供 + + +* TOKEN SERVER - 人脸服务配置 + 可与 新开普人脸平台 或 百度人脸服务 进行对接 + + 人脸登录类型: aiface: 新开普人脸, aipface: 百度人脸 + + **以下配置从 新开普人脸平台 申请** + 新开普人脸登录Url: + 新开普人脸登录App Key: + 新开普人脸登录App Secret: + 新开普人脸登录Secret Key: + 新开普人脸登录Term Code: + + **以下配置从 百度开放平台 申请** + 百度人脸登录App Id: + 百度人脸登录Api Key: + 百度人脸登录Secret Key: + + +#### jobs-server + +**建议直接使用 yaml 部署** + +命名空间: jobs-server + +* 外部RABBITMQ - 连接配置 + + 外部RabbitMQ host: `authx-service-rabbitmq.authx-service.svc.cluster.local` ,连接 authx-service 的rabbitmq, 若 authx-service 的命名空间有调整,请修改 + 外部RabbitMQ port: 5672 + +* RABBITMQ配置 - 安全配置 + + 用户名: guest + 密码: guest + +* 用户数据 - 数据源配置 + + JDBC URL: `jdbc:mysql://authx-service-mysql-server.authx-service.svc.cluster.local:3306/user?serverTimezone=Asia/Shanghai` ,连接 authx-service 的mysql,若 authx-service 的命名空间有调整,请修改 + JDBC用户名: user + JDBC密码: <请填写创建的数据库用户的密码> + +* 用户数据 - API设置 + + GOA API地址: `http://authx-service-user-data-service-goa.authx-service.svc.cluster.local:8080` ,固定值,若 authx-service 的命名空间有调整,请修改 + + +#### authx-service-init + +**确保 admin-platform、cas-server、authx-service 已经完成部署** + +命名空间: authx-service-init + +* 域名全局设置 + + 根域名: `paas..edu.cn` ,请修改为实际的学校域名 + + +* 外网地址 - 云平台设置 + + 云平台外网地址: `https://admin-platform.paas..edu.cn` , 请设置为 云平台 的外网地址 + +* 外网地址 - 安全中心设置 + + 安全中心外网地址: `https://authx-service.paas..edu.cn` , 请设置为 安全中心 的外网地址 + 安全中心域名: `authx-service.paas..edu.cn` , 请确保与 安全中心 的外网地址 的域名一致 + + +* 管理接口 - CAS 认证 + + CAS 认证管理接口地址: `http://cas-server-sa.cas-server.svc.cluster.local:8080` , 固定值,若 cas-server 的命名空间有调整,请修改 + +* 管理接口 - 云平台 + + 云平台管理接口地址: `http://admin-platform-admin-center-sa.admin-platform.svc.cluster.local:8080` , 固定值,若 admin-platform 的命名空间有调整,请修改 + +* 管理接口 - 用户服务 + + 用户服务管理接口地址: `http://authx-service-user-data-service-goa.authx-service.svc.cluster.local:8080` , 固定值,若 authx-service 的命名空间有调整,请修改 + +* 管理接口 - 授权服务 + + 授权服务管理接口地址: `http://authx-service-user-authz-service-sa.authx-service.svc.cluster.local:8080` , 固定值,若 authx-service 的命名空间有调整,请修改 + + +* 路由服务 - 用户管理 + + 用户管理的路由服务地址: `http://authx-service-user-data-service-goa.authx-service.svc.cluster.local:8080` , 固定值,若 authx-service 的命名空间有调整,请修改 + +* 路由服务 - 授权管理、认证管理 + + 授权管理、认证管理的路由服务地址: `http://authx-service-bff.authx-service.svc.cluster.local:8080` , 固定值,若 authx-service 的命名空间有调整,请修改 + +* 路由服务 - 个人中心 + + 个人中心的路由服务地址 `http://authx-service-personal-security-center-bff.authx-service.svc.cluster.local:8080` , 固定值,若 authx-service 的命名空间有调整,请修改 + -- 2.17.1