8.3. 身份验证流程
身份验证 流程是身份验证、屏幕和操作的容器,登录、注册和其他红帽单点登录工作流期间。要查看所有流、操作和检查,每个流程都需要:
流程
- 在菜单中,单击 Authentication。
- 点 Flows 选项卡。
8.3.1. 内置流
Red Hat Single Sign-On 有几个内置流。您无法修改这些流,但您可以更改流程的需求以满足您的需要。
在下拉列表中,选择 浏览器 以显示 Browser Flow 屏幕。
浏览器流
将鼠标悬停在下拉列表的 question-mark 工具上,以查看流的描述。有两个部分。
8.3.1.1. auth 类型
要执行的验证或操作的名称。如果验证缩进,则会在子流中。它可能或无法执行,具体取决于其父进程的行为。
cookie
当用户第一次成功登录时,Red Hat Single Sign-On 会设置一个会话 Cookie。如果已经设置了 cookie,这个验证类型可以成功。由于 Cookie 提供程序返回成功,因此这一级别上的每个执行都是 备选 的,因此 Red Hat Single Sign-On 不会执行任何其他执行。这会导致登录成功。
Kerberos
这个验证器默认被禁用,并在浏览器流中跳过。
身份提供程序 Redirector
此操作通过 Actions > Config 链接进行配置。它重定向到另一个 IdP,以进行身份验证代理。
表单
由于此子流标记为 替代,因此如果传递 Cookie 验证类型,则不会执行。此子流包含需要执行的额外验证类型。Red Hat Single Sign-On 加载此子流的执行并处理它们。
第一个执行是 Username Password Form,它是一个呈现用户名和密码页面的身份验证类型。它已被标记为 必需的,因此用户必须输入有效的用户名和密码。
第二个执行是 浏览器 - Conditional OTP 子流。这个子流是 条件,并根据 Condition - User Configured execution 的结果来执行。如果结果正确,Red Hat Single Sign-On 会加载此子流的执行并处理它们。
下一个执行是 Condition - User Configured authentication。此身份验证检查 Red Hat Single Sign-On 是否在用户流中配置了其他执行。Browser - Conditional OTP 子流仅在用户配置了 OTP 凭证时才会执行。
最后的执行是 OTP Form。Red Hat Single Sign-On 会根据需要标记这个执行,但只有用户因为 条件 子流中的设置而设置 OTP 凭证时才会运行。如果没有,用户不会看到 OTP 表单。
8.3.1.2. 要求
一组控制操作执行的单选按钮。
8.3.1.2.1. 必需
流中的 所有必需元素都必须成功执行。如果需要的元素失败,流会终止。
8.3.1.2.2. 替代方案
只有单一元素必须成功执行流程才能成功评估成功。因为 所需 流元素足以将流标记为成功,所以包含所需流元素的流中任何 备用 流元素将无法执行。
8.3.1.2.3. Disabled
该元素不计将流标记为成功。
8.3.1.2.4. 条件
这个要求类型只在子流中设置。
- Conditional 子流包含执行。这些执行必须评估为逻辑语句。
- 如果所有执行都评估为 true,则条件 子流充当 必需项。
- 如果所有执行都评估为 false,Condition al sub-flow 充当 Disabled。
- 如果没有设置执行,Conditional 子流充当 Disabled。
- 如果流包含执行,且流没有设置为 Conditional,Red Hat Single Sign-On 不会评估执行,且执行被视为功能 禁用。
