创建 HTTP 集成
现在您已经确定了 API,让我们向微应用服务添加 HTTP 集成。
- 在 微应用集成 页面中,选择 添加集成。
-
选择 创建到 HTTP Web 服务的新集成 以添加配置详细信息。
-
为您的集成提供一个 名称 ,然后输入您收集的 基本 URL 。基本 URL 是用于此集成的 Web 地址的一致部分。例如,
https://app.asana.com/api/1.0/workspaces/${YOUR_WORKSPACE_ID}。将 $ {YOUR_WORKSPACE_ID} 替换为您的工作空间 ID(例如 419224638481718)。每个集成只能添加一个基本 URL。如果您需要更多基本 URL,则必须创建另一个集成。
注意:
虽然 HTTP 和 HTTPS 都允许作为 SaaS 集成的基本 URL,但 HTTP 被认为是一种不太安全的连接方法,您不太可能将其用于目标集成应用程序。本地集成不允许使用 HTTP 基本 URL。
- 选择要与集成一起显示的 图标 。从预定义的图标集中选择一个,或添加自定义图标。有关添加自定义图标的详细信息,请参阅 添加自定图标
- (可选)要连接到本地记录系统 (SoR),请启用 本地实例 切换。有关更多信息,请参阅 本地实例。
- 根据需要选择服务身份验证方法和服务操作身份验证。有关详细信息,请参阅 设置服务身份验证。
- (可选)要为您的集成启用速率限制,请选择 请求速率限制 开关。有关更多信息, 请参阅请求速率限制。
- 选择右上角的 添加 以保存这些集成配置。现在,您可以继续配置集成。有关更多信息,请参阅 配置集成。
添加自定义图标
您可以添加自定义图标以更好地识别您的集成。当你向更广泛的受众发布 HTTP 集成时,图标文件将上传到 Azure CDN 存储,并且可以公开访问。
图标文件必须符合以下参数:
- 该文件为 png 格式,背景透明。
- 文件的分辨率必须精确为 128x128 像素。
- 最大文件大小为 80 KB。
注意
自定义图标仅用于概述集成。您无法将它们传播到 Workspace 通知。
要添加图标,请选择 添加图标,然后选择要上传的文件。
当您导出集成然后将其导入另一个实例时,该图标将添加到目标实例的自定义图标列表中。
要删除图标,请从图标弹出窗口中选择一个图标,然后单击 删除图标。移除图标时,该图标不会被删除。集成包含指向该图标的链接,但您无法再次选择该图标。
本地实例
微应用服务允许你连接本地记录系统 (SoR)。本地集成不允许使用 HTTP 基本 URL。要创建本地连接,请首先使用 Connector Appliance 进行连接,然后按照此过程收集并添加资源标识符 ID。有关更多信息,请参阅 Citrix Cloud Connector 设备。
- 转到 Citrix Cloud 并使用您的凭据登录。
- 登录 Citrix Cloud 后,从左上角的菜单中选择 资源位置 。
- 找到要使用的资源位置,然后选择资源名称下方的 ID 图标以显示资源位置的 ID。
- 复制资源位置 ID。
- 将位置 ID 粘贴到 添加 HTTP 集成 屏幕的本地实例 资源位置 字段中。
- (可选)如果您需要集成才能接受未签名的 证书,请禁用 SSL 证书验证。
您的本地集成已配置。
设置服务身份验证
配置 HTTP 集成服务身份验证时,必须使用目标应用程序(记录系统)设置服务帐户。如果要使用服务帐户向应用程序写入数据,则还必须在目标应用程序中同时拥有读取和写入权限。在收集了有关目标应用程序的所有必要信息(登录名、密码、安全凭证等)之后,您就可以开始服务集成过程了。
从以下选项中选择身份验证方法:
- 无 -不需要安全证书。
- 基本 -使用目标应用程序的用户名和密码进行身份验证。
- NTLM -将 HTTP 集成配置为使用一套微软协议通过新技术局域网管理器 (NTLM) 身份验证服务器进行连接,以通过微软 Windows 凭据对 NTLM 用户进行身份验证。
- Bearer -将目标集成的身份验证方案配置为使用服务器响应登录请求而生成的不记名令牌。
- OAuth 2.0 -使用 OAuth 2.0 安全协议为委派访问生成请求/授权令牌。OAuth 2.0 的实现因系统而异,但 OAuth 2.0 的一般工作流程如下所述。
- API 密钥 -使用 API Keys 方法对用户、开发人员或调用程序的 API 进行身份验证。
注意:
建议您始终使用 OAuth 2.0 作为可用的服务身份验证方法。OAuth 2.0 可确保您的集成符合配置的微应用的最大安全合规性。
请按照以下步骤进行操作:
- 输入集成的 服务身份验证 参数。
- (可选)对于授权码授予类型,选择 使用您的服务帐户登 录并等待登录完成。
-
(可选)选择服务操作身份验证单选按钮,然后在服务操作级别输入身份验证参数。
重要:
如果您使用的是委派权限,则可能没有完全访问权限。在这种情况下,请使用服务操作身份验证在服务操作级别进行身份验证。在这种情况下,您可以在服务级别使用基本身份验证,但出于安全原因,必须在服务操作级别使用 OAuth 2.0。
- 选择添加。
OAuth 2.0 身份验证
OAuth 2.0 使应用程序能够获得对第三方应用程序上 HTTP 服务用户帐户的特定访问权限。它的工作原理是将身份验证委托给包含用户帐户的服务,然后授权第三方应用程序访问该用户帐户。
OAuth 回调 URL
用于身份验证的回调 URL 遵循以下模式:
https://{customer_id}.{customer_geo}.iws.cloud.com/admin/api/gwsc/auth/serverContext
https://{customer_id}.{customer_geo}.iws.cloud.com/app/api/auth/serviceAction/callback
此 URL 的第二部分仅在定义每个用户身份验证的操作时使用。客户和地理标识符是可变的,每个客户都是唯一的。
OAuth 2.0 授权类型
HTTP 集成允许您从四种授权类型中进行选择。设置 Oath 2.0 时,从菜单中选择您的授权类型。配置 OAuth 2.0 时,我们建议您使用授权码,因为这是最安全的授权流程。如果您需要其他服务操作身份验证方法,请使用客户端凭据和资源所有者密码授予类型:
- 授权码 -授予客户端用来交换访问令牌的临时代码。该代码从授权服务器获取,您可以在其中查看客户端请求的信息。只有这种授权类型才能启用安全的用户模拟。
- 客户端凭证 -授权类型用于在用户上下文之外获取访问令牌。客户端使用它来访问自己的资源,而不是访问用户的资源。
- 资源所有者密码 -提供正确的凭据以授权资源服务器提供访问令牌。
- 隐式流 -隐式授权类型仅适用于 Service 操作身份验证,并且仅在开发人员模式下存在。您可以将响应类型设置为 token 或 id_token。没有提供自动访问令牌刷新。访问令牌到期时,您必须再次提供同意。
授予类型输入
根据上面定义的授权类型,系统会为您提供以下选项来完成以启用 OAuth 2.0 身份验证:
- 范围 -定义访问请求的范围,这是授权服务器在设置目标集成应用程序时定义的字符串。
- 客户端 ID -定义表示授权服务器特有的客户端注册信息的字符串。
- 客户端密钥 -定义设置目标应用程序集成时发出的唯一字符串。
- 用户名-定义目标应用程序帐户的用户名。
- 密码 -定义目标应用程序帐户的密码。
- 授权 URL -定义在设置目标应用程序集成时提供的授权服务器 URL。
- 令牌 URL -定义访问授权令牌的 URL。
- 刷新令牌 URL -(可选)定义访问授权令牌的刷新令牌 URL。如果未设置,则使用令牌 URL。
- 访问令牌参数 -如有必要,根据目标应用程序授权服务器的要求定义访问令牌参数。
- 使用您的服务帐户 登录-登录目标应用程序的授权服务器的服务帐户。
- 标头前缀 -(可选)如果您的持票人前缀与默认标题不同,请输入标题前缀。
- 中继状态 允许您配置身份验证,使用户无需重新输入凭据即可访问某些微应用。
有关 OAuth 2.0 的额外资源可以在 OAuth 2.0 的 问题请求页面找 到。
中继状态
只有在满足以下条件时才能使用中继状态:
- 您使用 Okta 作为身份提供商。
- 目标 SoR 支持 Okta 作为其身份提供商。
- 中继状态已启用,并使用正确的 Okta URL 正确配置。
成功设置 Okta 后,将 Okta 提供的 SinglesIgnonService URL 输入到中继状态 Okta URL 字段中以进行集成。例如:https://{your Okta}.okta.com/app/{SoR ID}/{ID}/sso/saml。
中继状态仅适用于用户操作,不适用于完全/增量同步,并且仅传递最终用户凭据。某些 SORA 要求最终用户确认同意页面,而配置 RelayState 并不会删除此要求。
有关配置 Okta 的更多信息,请参阅 Okta 的官方文档。例如,您可以在如何为 Salesforce 配置 SAML 2.0 中查看如何在 Salesforce 中配置Okta。
OAuth 2.0 疑难解答
如果在将目标应用程序连接到微应用平台时遇到问题,请根据自己的配置检查以下可能的解决方案错误:
- invalid_request -您的授权请求可能缺少必需的参数、包含不受支持的参数值(或其他授权类型)、重复参数、包含多个凭据、使用多种机制对客户端进行身份验证。
- invalid_client -由于以下原因,您的客户端身份验证失败:未知客户端、不包括客户端身份验证或不支持的身份验证方法。授权服务器可能会返回 HTTP 401(未经授权)状态码,以指示支持哪些 HTTP 身份验证方案。
- invalid_grant -授权授予或刷新令牌可能无效、已过期、已撤销,与向其他客户端发出的授权请求中使用的重定向 URI 不匹配。
- unauthorized_client -经过身份验证的客户端无权使用此授权授权类型。
- un支持_grant_type -授权服务器不支持授权授权类型。
- invalid_scope -请求的作用域无效、未知、格式错误或超出资源所有者授予的范围。
如果您在配置 OAuth 2.0 时仍然遇到问题,请检查是否为令牌和授权 URL 输入了正确的 URL,因为它们都是唯一的。还要重新检查你的其他输入是否正确,例如 Scope 等。如果问题仍然存在,请检查集成应用程序服务器端的设置。
请求速率限制(可选)
选择请 求速率限制 以启用集成的速率限制。切换后,您可以定义从目标应用程序中提取的请求数和时间间隔(1 秒或 1 分钟)。根据目标应用程序文档中定义的最佳实践/速率限制配置速率限制。
下一步的去向
现在您已经创建了 HTTP 集成,请配置集成: