要使用身份验证,则需要在服务器上启用SSL。欲了解更多信息,请参阅启用SSL。
验证,可以验证用户的凭据,并帮助你控制哪些用户可以访问Web应用程序部署在服务器上。
MATLAB®Web应用程序服务器™金宝app使用轻型目录访问协议(LDAP)和ID连接(OIDC)支持验证。
要启用身份验证:
检查是否启用SSL。欲了解更多信息,请参阅启用SSL。
创建一个名为文件webapps_authn.json
并将其放置在webapps_private
的文件夹,其位于所述内配置
夹。对于格式webapps_authn.json
取决于你是否使用LDAP或OIDC进行身份验证。
该webapps_private
文件夹中可以找到:
操作系统 | 文件夹位置 |
---|---|
视窗® |
|
Linux的® |
|
苹果系统 |
|
有关用户,组和应用程序的LDAP目录服务器存储的信息。目录中的每个条目由三个部分组成:一个专有名称(DN),属性的集合,和对象类的集合。
要使用LDAP认证,创建一个名为文件webapps_authn.json
使用以下JSON模式,并将其放置在webapps_private
夹。
{ “版本”: “1.0.0”, “类型”: “LDAP”, “authnConfig”:{ “主机”: “”, “端口”: “”,“searcherDN”: “”, “searcherPassword”: “”, “基本DN”: “<点在从哪里开始搜索用户LDAP>”, “userFilter”: “<过滤器语法>”}, “AppConfig的”:{“checkSSLCA”:“<布尔值,指示是否检查受信任的SSL证书>”,“trustedSSLCA”:“<路径到受信任的SSL证书>”,“显示名”:“<标识符MATLAB的Web应用程序服务器主页显示>”, “tokenExpirationMin”: “<以分钟令牌到期持续时间>”}}
版:指定JSON模式的版本。为默认值R2020a是:1.0.0
。
类型:指定认证所用的类型。将该值设置为LDAP
。
主办:指定LDAP目录服务器的主机名。例如:myldap.myboston.com
。
港口:(可选的)指定LDAP目录服务器的端口号。例如:389
。如果未指定端口号,默认端口将被使用。该MATLAB的Web应用服务器使用SSL / STARTTLS与LDAP服务器安全通信。这确保通过之间的加密信道传送用户名和密码MATLAB的Web应用服务器和LDAP服务器。默认情况下,服务器使用标准端口636
在Windows和SSL端口389
在Linux和STARTTLS苹果系统。LDAP服务器必须被配置成允许在指定的(或默认)LDAP端口SSL / STARTTLS连接;否则,身份验证将失败。
searcherDN:在目录中指定的搜索帐户的DN。默认值是“”
。搜索DN是指允许搜索LDAP目录服务器的帐户。例如:“CN =管理员,DC = myboston,DC = COM”
。
searcherPassword:搜索者帐户的密码。默认值是“”
。
MATLAB的Web应用服务器使用的值searcherDN
和searcherPassword
搜索用户的DN使用userFilter
。所发现的DN随后对验证通过LDAP输入的密码。值searcherDN
和searcherPassword
如果LDAP服务器提供了匿名身份验证访问不是必需的。
由于webapps_authn.json
内的文件生命webapps_private
文件夹中,这是唯一由服务器帐户读取,搜索者的凭据保护,谁登录到服务器上的应用程序或其他用户。
基本DN:指定目录中的基本DN。基本DN是在应用程序开始搜索用户的目录位置。例如:DC = myldap的,DC = myboston,DC = COM
。
userFilter:指定一个过滤器来查找用户的DN。MATLAB的Web应用服务器使用userFilter
发现输入的用户名相匹配的用户的DN,表示为{用户名}在过滤器中。如果没有找到匹配或多个匹配发现,认证失败。该过滤器可以使用标准LDAP过滤器语法来指定。例如:(&(objectClass的=用户)(sAMAccountName赋= {用户名}))
。
checkSSLCA:检查LDAP服务器的SSL证书是否被认可的证书颁发机构(CA)签署。此属性设置为真正
检查有效的SSL证书并将其设置为假
与放弃检查。如果设置为真正
,你需要指定的值trustedSSLCA。如果设置为假
,用户名和密码之间仍然发射MATLAB的Web应用服务器和通过加密通道LDAP服务器。然而,这种检查被推荐用于额外的安全性。
trustedSSLCA:在Linux和苹果系统系统指定的路径,通过签署该网站证书的证书颁发机构(CA)颁发的根证书。在Windows系统上,你并不需要指定的路径。只要根证书是在受信任的根证书颁发机构的证书存储,MATLAB的Web应用服务器会自动找到它。
显示名称:用户的身份被配置如何显示在MATLAB的Web应用服务器主页通过指定用户的LDAP条目的属性。例如,将此属性设置为UID
显示用户ID。默认值是在验证过程中输入的用户名。
tokenExpirationMin:指定以分钟令牌到期持续时间。例如:60
。默认值是“”
,这意味着令牌不会过期。
webapps_authn.json
文件LDAP{ “版本”: “1.0.0”, “类型”: “LDAP”, “authnConfig”:{ “主机”: “myldap.myboston.com”, “端口”: “”, “searcherDN”: “”,“searcherPassword”: “”, “基本DN”: “DC = myldap的,DC = myboston,DC = COM”, “userFilter”: “((objectClass的=用户)(sAMAccountName赋= {用户名}))”},“的AppConfig“:{ “checkSSLCA”: “假”, “trustedSSLCA”: “”, “显示名”: “UID”, “tokenExpirationMin”: “60”}}
ID连接(OIDC)允许MATLAB的Web应用服务器以验证最终用户的基于由第三方身份提供商(IDP)执行的认证的身份。要在服务器上使用OIDC认证,则需要与境内流离失所者,如Microsoft注册®天蓝®AD,或者谷歌®身份平台。
要使用OIDC认证,创建一个名为文件webapps_authn.json
使用以下JSON模式,并将其放置在webapps_private
夹。
{ “版本”: “1.0.0”, “类型”: “OIDC”, “authnConfig”:{ “发行者”: “”, “的clientId”: “<从客户端的IdP ID>”,“clientSecret”: “<从的IdP客户端秘密>”, “范围”:[ “ ”]} “AppConfig的”:{ “端口”:使用的“”,‘显示名’:‘<身份到MATLAB的Web应用程序服务器主页显示>’,‘tokenExpirationMin’:‘以分钟为<令牌到期时间>’}}
版:指定JSON模式的版本。作为默认值R2020a是:1.0.0
。
类型:指定认证所用的类型。将该值设置为OIDC
。
发行者:指定OIDC的IdP发行方URI。例如,如果使用谷歌标识平台:https://accounts.google.com/.well-known/openid-configuration
。
的clientId:指定客户端ID您在与境内流离失所者登记您的凭据获得。例如,如果使用谷歌标识平台:1234567890-xxxxxxxxxxxx.apps.googleusercontent.com
。
clientSecret:指定客户端密钥您在与境内流离失所者登记您的凭据获得。例如,如果使用谷歌标识平台:_xxxxxxxxxxxxx_Xxxxxx_xX
。
由于webapps_authn.json
内的文件生命webapps_private
文件夹,它是仅由服务器帐户可读,的clientId和clientSecret免受谁登录到服务器上的应用程序或其他用户。
范围:指定资源标识符管理员希望MATLAB的Web应用服务器访问。例如,如果使用谷歌标识平台:OpenID的个人资料的电子邮件
。
港口:指定所使用的端口号MATLAB的Web应用服务器对于OIDC认证。例如:3000
。
显示名称:用户的身份被配置如何显示在MATLAB的Web应用服务器主页,通过指定认证的用户对象的属性名称。例如,如果使用谷歌标识平台,给定的名称
显示用户的名字。默认为子
属性。
tokenExpirationMin:指定以分钟令牌到期持续时间。例如:60
。默认值是“”
,这意味着令牌不会过期。
如果使用OIDC认证,你需要注册MATLAB的Web应用服务器作为应用与IdP进行。
在登记过程中,你需要的MATLAB的Web应用服务器重定向URI。URI的格式是:HTTPS://
。例如:https://myboston.com:3000/oidc/callback
。
webapps_authn.json
文件OIDC使用谷歌身份平台{ “版本”: “1.0.0”, “类型”: “OIDC”, “authnConfig”:{ “发行者”: “https://accounts.google.com/.well-known/openid-configuration”,“的clientId": "1234567890-xxxxxxxxxxxx.apps.googleusercontent.com", "clientSecret": "_xxxxxxxxxxxxx_Xxxxxx_xX", "scope": ["openid profile email"] }, "appConfig": { "port": "3000", "displayName": "given_name", "tokenExpirationMin": "60" } }
设置身份验证后,如果您不能从您的浏览器登录,尝试清除浏览器的缓存和Cookie,或者尝试不同的浏览器。
对于JSON模式语法webapps_authn.json
严格执行。在该模式中的语法错误可能导致服务器无法启动,或者当您尝试登录被拒绝访问该服务器。