使用其他身份提供方配置应用程序访问控制
MATLAB® Production Server™ 可与多个 OAuth 2.0 提供方集成,以实现应用程序访问控制。应用程序访问控制允许服务器管理员将所部署应用程序的访问限制为仅限特定用户或用户组。要启用应用程序访问控制,请咨询 OAuth 2.0 提供方管理员以配置身份提供方并指定访问控制策略规则。
向身份提供方注册应用程序
要使用身份提供方进行应用程序访问控制,请向身份提供方注册一个应用程序。咨询身份提供方管理员以注册该应用程序。
在仪表板中配置身份提供方
向身份提供方注册应用程序后,在仪表板的 Application Access Control 选项卡中为身份提供方创建配置。点击 Create 并选择 Other。在 Create Identity Provider for Application Access Control 中,输入特定于应用程序和特定于身份提供方的值。点击 Create。如果服务器在 Windows® 虚拟机上运行,保存值可能需要长达 30 秒的时间。
下表描述了您必须输入的值。
| 字段 | 值 |
|---|---|
| Name | 您的身份提供方的名称。 |
| App ID | JWT 的预期接收方。接收方协助验证 JWT 中的 aud 声明。 |
| JWT Issuer | 身份提供方的 JWT 发行方元数据。元数据字符串必须与 JWT 中的 iss 声明匹配。 |
| JWKS URI | 用于检索 JSON Web 密钥集 (JWKS) 的 URI。 |
在 Create Identity Provider for Application Access Control 下,您可以选择为 UserAttribute ID 和 GroupAttribute ID 提供默认值以外的值。UserAttribute ID 是唯一标识用户的 JWT 声明名称。GroupAttribute ID 是列出用户所属组的 JWT 声明名称。根据您使用的身份提供方,您可能必须更改默认设置。
指定访问控制策略规则
通过定义访问控制策略规则来指定特定用户或用户组可以访问的应用程序。要定义规则,请点击仪表板 Application Access Control 选项卡中 Access Control Policy 下的 Add Rule。然后,指定以下信息。
| 字段 | 值 |
|---|---|
| Rule ID | 规则的名称。 |
| Description | 规则的描述。 |
| Users | 在身份提供方中设置的允许访问所部署应用程序的用户名。 |
| Groups | 在身份提供方中设置的允许访问所部署应用程序的组 ID。 |
| Applications | 指定用户和组可以访问的应用程序。 要选择所有应用程序,请选择 |
启用应用程序访问控制
配置身份提供方并指定访问控制策略规则后,您必须通过从仪表板中选择 Yes 选项来启用仪表板访问控制。
生成访问令牌
启用应用程序访问控制后,客户端可以生成持有者令牌。客户端程序可以使用第三方库来生成令牌。有关 OAuth 库的列表,请参阅 OAuth 库。客户端程序在使用 MATLAB Production Server RESTful API 向服务器发出请求时,在 HTTP 授权标头中使用此持有者令牌。此标头的格式为 Authorization:Bearer <access token>。
