MFP Auth LDAP

用户身份验证是几乎所有企业移动应用程序中的基本要求。对于内部移动应用程序，例如与薪水，休假和商务旅行预订有关的应用程序，组织希望通过对用户对其本地LDAP服务器进行身份验证来利用单个签名。对于针对最终用户的应用程序，企业数据未公开，例如，适用于产品用户的应用程序，允许他们提高服务请求，从而允许用户使用其社交登录名来验证，例如Facebook登录/Google登录将变得容易得多。此代码模式显示了开发人员如何利用IBM移动基础服务来实施以下用户身份验证机制：

• 通过使用安全网关连接到本地LDAP服务器，企业登录。
• 社交登录，例如Google登录和Facebook登录。

完成此代码模式后，您将了解：

• 如何在用户存储库是企业LDAP服务器的移动应用程序中实现用户身份验证。
• 如何使用Google或Facebook等社交登录机制在移动应用中实现用户身份验证。
• 如何编写从云对象存储服务和Cloudant服务获取数据的移动文件适配器。
• 如何从相机中捕获用户的地理位置和图像，并在Google Maps中显示。

上图说明了登录流量（此处使用Google描述，但也与Facebook或其他社会提供商有关）。该图显示，触发社会提供者是由客户启动的。

1. 用户启动移动应用程序，并选择与Google登录。
2. Google Android SDK调用Google Signin Rest服务。
3. 接收到REST服务的访问令牌，移动应用程序带有范围社交和凭据（供应商 +令牌）。
4. 移动基金会SDK将凭据和范围发送到移动基础授权服务器API。授权API调用了映射的安全检查社交 - 验证以验证凭据。
5. 社交安全性检查从安全检查配置中使用其Web客户端标识符验证令牌。社交量将身份验证的用户返回到授权服务器API。
6. 授权服务器API将身份验证的用户数据返回移动基金会SDK。移动基础SDK将身份验证的用户数据传递回该应用。
7. 如果用户身份验证成功，则移动应用程序显示主页。移动应用程序致电移动基础适配器，以从Cloudant数据库中获取数据并将其返回到移动应用程序。
8. 从Cloudant获取的数据将引用云对象存储中存储的图像。移动应用程序致电移动基础适配器，以获取与云对象存储服务进行交互的授权令牌。移动基础适配器呼叫云对象存储服务的令牌管理器端点，以获取授权令牌并将其返回到移动应用程序。
9. 移动应用程序初始化图像插件并从对象存储中获取图像。
10. 移动应用显示从移动基础适配器获得的数据作为项目列表。用户单击列表项目之一，以查看更多详细信息。显示了一个详细页面，其中包括图像和Google Maps中标记的地理位置。

1. 用户启动移动应用程序，然后单击登录按钮。
2. 移动应用程序调用移动基础安全检查适配器以验证用户凭据。
3. 为了验证用户凭据，安全检查适配器通过安全网关连接到本地企业LDAP服务器。
4. Enterprise LDAP服务器验证了凭据，并通过安全网关将响应发送回移动基础服务器。
5. 移动基础服务器将身份验证的用户数据返回移动基金会SDK。移动基础SDK将身份验证的用户数据传递回该应用。
6. 如果用户身份验证成功，则移动应用程序显示主页。移动应用程序致电移动基础适配器，以从Cloudant数据库中获取数据并将其返回到移动应用程序。
7. 从Cloudant获取的数据将引用云对象存储中存储的图像。移动应用程序致电移动基础适配器，以获取与云对象存储服务进行交互的授权令牌。移动基础适配器呼叫云对象存储服务的令牌管理器端点，以获取授权令牌并将其返回到移动应用程序。
8. 移动应用程序初始化图像插件并从对象存储中获取图像。
9. 移动应用显示从移动基础适配器获得的数据作为项目列表。
10. 用户单击列表项目之一，以查看更多详细信息。显示了一个详细页面，其中包括图像和Google Maps中标记的地理位置。

• Cloudant NOSQL DB：一个为现代Web和移动应用程序设计的全面管理数据层，利用灵活的JSON模式。
• 云对象存储：高度可扩展的云存储服务，旨在高耐用性，弹性和安全性。
• 移动基金会：由市场领先的IBM移动基础技术提供动力的可扩展移动访问网关。该服务提供了一套全面的移动后端功能，例如应用程序生命周期，推送，分析，功能切换，安全性和身份验证以及离线同步。
• 安全网关：一种快速，简单且安全的解决方案，可在本地或第三方云环境和IBM云之间提供持久的连接。

• 移动：参与系统越来越多地使用移动技术作为交付的平台。

1。设置离子和移动配置CLI

2。创建Cloudant数据库并用示例数据填充它

3。创建IBM云对象存储服务并用示例数据填充它

4。创建移动基础服务和配置MFP CLI

5。设置LDAP服务器和安全网关客户端

6.在Google和Facebook上注册Android应用以进行社交登录

7。下载源存储库和自定义

• 7.1克隆回购

• 7.2更新应用程序ID，名称和说明

• 7.3在移动配置适配器中指定Cloudant凭据

• 7.4在移动文件适配器中指定云对象存储凭据

• 7.5在移动文件适配器中指定LDAP凭据

• 7.6在MoileFoundation适配器中指定Google登录凭据

• 7.7在Ionic应用中指定Facebook Appid和Google ClientId

8。部署移动配置适配器和测试

• 8.1构建和部署移动文件适配器

• 8.2启动移动配置仪表板并验证适配器配置

9。在Android手机上运行申请

该项目建立在https://github.com/ibm/ionic-mfp-app上。从该基础项目中运行以下步骤，以便从IBM Cloud提供所需的移动后端服务，并用示例数据填充它们，并在开发机上设置离子和移动配置CLI。

步骤1。设置离子和移动配置CLI

步骤2。创建Cloudant数据库并用示例数据填充它

步骤3。创建IBM云对象存储服务并用示例数据填充它

步骤4。创建移动基础服务并配置移动配置CLI

如果您拥有企业LDAP服务器设置并运行，则可以跳过本节的其余部分，然后移至“设置安全网关客户端”部分。如果您没有任何LDAP服务器设置，则可以尝试安装Apacheds -https：//directory.apache.org/apacheds。 Apacheds的基本安装和设置指南可在-https：//directory.apache.org/apacheds/basic-user-guide.html（请参阅第1节）。通过以下步骤在此处导入示例数据。添加一个新的条目，其中包括您的详细信息，例如

• CN：John d
• SN：Johnd
• 描述：经理
• 给予名称：约翰
• 邮件：[email protected]
• UID：xxxx
• UserPassword：xxxxx

为了能够从IBM Cloud上运行的移动基础服务器中访问本地LDAP服务器，我们必须首先根据以下步骤在本地LDAP服务器和IBM Cloud之间创建安全的网关连接：

1. 登录到IBM云。点击

    Catalog > All Categories > Integration > Secure Gateway > Create
   

2. 在安全网关服务仪表板内，单击Add Gateway 。指定名称，然后单击Add Gateway 。单击刚刚添加的网关图标。

3. 单击Add Clients 。留下IBM Installer AS-IS的默认选择。记下Gateway ID和Security Token 。

4. 复制为安全网关客户端安装程序的下载URL，以适用于LDAP服务器正在运行的操作系统。

5. 登录到LDAP服务器正在运行的本地计算机。使用从安全网关仪表板获得的下载URL下载安全网关客户端安装程序。通过使用可用的说明来安装并启动安全网关客户端。

使用此处可用的说明添加LDAP服务器作为安全网关客户端中的目标。如果新添加的目的地显示了一只红色的凸起的手，其中包含Access blocked by ACL ，请确保在安全网关客户端命令行中运行acl allow < host >:< port > 。

6. 在我们刚刚添加的目的地上，单击“设置”按钮。云主机下的复制值：端口（例如，cap-sg-prd-5.integration.ibmcloud.com:16801）。这是我们将在Mobilefirst适配器中指定的作为hostname:port 。

1. 通过在Google API控制台上注册该应用程序来获取Google Web客户端ID

2. 通过在Facebook应用程序控制台上注册该应用程序来获取Facebook应用程序ID

 $ git clone https://github.com/IBM/MFP-Auth-LDAP
$ cd MFP-Auth-LDAP

如下更新IonicMobileApp/config.xml 。适当地更改id ， name ， description和author详细信息。

<?xml version='1.0' encoding='utf-8'?>
<widget id="org.mycity.myward" version="2.0.0" xmlns="https://www.w3.org/ns/widgets" xmlns:cdv="http://cordova.apache.org/ns/1.0" xmlns:mfp="http://www.ibm.com/mobilefirst/cordova-plugin-mfp">
    <name>MyWard</name>
    <description>Get your civic issues resolved by posting through this app.</description>
    <author email="[email protected]" href="https://developer.ibm.com/code/author/shivahr/">Shiva Kumar H R</author>
...

打开MobileFoundationAdapters/MyWardData/src/main/adapter-resources/adapter.xml并更新以下属性，以指向步骤2中创建的Cloudant数据库。

• 根据步骤2.2中生成的Cloudant API键更新key和password 。
• 对于属性account ，请指定Cloudant仪表板URL部分，直至（和包括） -bluemix.cloudant.com，如步骤2.2的快照所示。
• 对于属性DBName ，请留下myward as-is的默认值。

<mfp:adapter name="MyWardData" ...>
  <property name="account" displayName="Cloudant account" defaultValue=""/>
  <property name="key" displayName="Cloudant key" defaultValue=""/>
  <property name="password" displayName="Cloudant password" defaultValue=""/>
  <property name="DBName" displayName="Cloudant DB name" defaultValue="myward"/>
  ...
</mfp:adapter>

Open MobileFoundationAdapters/MyWardData/src/main/adapter-resources/adapter.xml并更新以下属性，以指向步骤3中创建的云对象存储。

• 根据步骤3.1中创建的bucketName的值。
• 在步骤3.2中指定serviceId和apiKey 。
• 在步骤3.1中创建存储桶时，如果您选择了其他位置/弹性，则根据https://cloud.ibm.com/docs/services/cloud-objection/cloud-objection/basics/endpoint/endpoints.html#select-regsect-regions-regions-and-endpoints中的规范更新endpointURL 。

<mfp:adapter name="MyWardData" ...>
  ...
  <property name="endpointURL" displayName="Cloud Object Storage Endpoint Public URL" defaultValue="https://s3-api.us-geo.objectstorage.softlayer.net"/>
  <property name="bucketName" displayName="Cloud Object Storage Bucket Name" defaultValue=""/>
  <property name="serviceId" displayName="Cloud Object Storage Service ID" defaultValue=""  />
  <property name="apiKey" displayName="Cloud Object Storage API Key" defaultValue=""/>
</mfp:adapter>

Open MobileFoundationAdapters/LDAPLoginAdapter/src/main/adapter-resources/adapter.xml并更新以下属性，以指向步骤5.2中创建的安全网关客户端

<property name="ldapUserAttribute" defaultValue="uid" displayName="The LDAP attribute for username"/>
		<property name="ldapNameAttribute" defaultValue="cn" displayName="The LDAP attribute for display name"/>
		<property name="ldapURL" defaultValue="ldap://caplonsgprd-5.integration.ibmcloud.com:15315" displayName="The LDAP Server URL"/>
		<property name="userFilter" defaultValue="(&(uid=%v))" displayName="The LDAP user filter, use %v as placeholder for user"/>
		<property name="bindDN" defaultValue="uid=admin,ou=system" displayName="The LDAP bind DN (- for none)"/>
<property name="bindPassword" defaultValue="apacheds" displayName="The LDAP bind password (- for none)" type="string"/>

打开MobileFoundationAdapters/SocialLoginAdapter/src/main/adapter-resources/adapter.xml并更新步骤6中创建的Google客户端ID，如下所示

<property name="google.clientId"
                  defaultValue="618106571370-nie902ccc0i3id6sgdu4nc58bslabcde.apps.googleusercontent.com"
				  displayName="google client Id"
                  description="OAuth 2.0 client ID that was created for your server. Get it from Google Developers Console
                  at https://console.developers.google.com/projectselector/apis/credentials"/>

使用以下命令安装Cordova和Ionic Facebook插件和Google Plus插件（Python2是先决条件）

 $ ionic cordova plugin add cordova-plugin-facebook4 --variable APP_ID="your_appid_from_step6" --variable APP_NAME="your application name"

$ npm install --save @ionic-native/facebook

 $ ionic cordova plugin add cordova-plugin-googleplus --variable REVERSED_CLIENT_ID="reverseclientid_from_step6"

$ npm install --save @ionic-native/google-plus

在安装Facebook和Google Plus插件后，请检查config.xml文件中是否存在在步骤6中获得的Facebook应用程序ID和Google WebClientID，如下所示

 <plugin name="cordova-plugin-facebook4" spec="^1.9.1">
        <variable name="APP_ID" value="your_appid" />
        <variable name="APP_NAME" value="MyWard" />
    </plugin>

 <plugin name="cordova-plugin-googleplus" spec="^5.3.0">
        <variable name="REVERSED_CLIENT_ID" value="your_reverse_clientid" />
    </plugin>

REVERSED_CLIENT_ID是STEP6中获得的Google WebClientID的反向形式。

还将在Google Pluslogin（）方法中的Auth_handler.ts文件中添加WebClientID。

如下，构建和部署MyWardData适配器。

 $ cd MobileFoundationAdapters/
$ cd MyWardData
$ mfpdev adapter build
$ mfpdev adapter deploy

注意 - 如果服务器不是默认的服务器，请在命令中提及服务器名称“ MFPDEV适配器部署命令”。

如下所示，构建和部署LDAPLoginAdapter适配器。

$ cd ../LDAPLoginAdapter/
$ mfpdev adapter build
$ mfpdev adapter deploy

如下所示，构建和部署SocialLoginAdapter适配器。

 $ cd ../SocialLoginAdapter/
$ mfpdev adapter build
$ mfpdev adapter deploy

如下启动移动配置仪表板：

• 在IBM Cloud仪表板中，在Cloud Foundry Services下，单击您在步骤4中创建的Mobile Foundation服务。显示的服务概述页面将嵌入其中的Mobile Foundation仪表板。您还可以通过将/mfpconsole附加到步骤4中提到的URL中，在单独的浏览器选项卡中打开移动文件仪表板。
• 在移动配置仪表板中，在左侧的列表中，您将看到列出的LDAPLoginAdapter ， SocialLoginAdapter和MyWardData适配器。

验证移动文件适配器配置如下：

1. 在移动配置仪表板内，单击MyWardData适配器。在Configurations卡下，您应该看到我们在步骤7.3中指定的各种属性和步骤7.4，用于访问Cloudant数据库和云对象存储，如下所示。作为在MobileFoundationAdapters/MyWardData/src/main/adapter-resources/adapter.xml中指定这些属性值的替代方案，如步骤7.3和步骤7.4所示，您可以用空defaultValue部署适配器，一旦将适配器的值部署到本页面上，则可以在此页面上更改贴度。

• 单击Resources选项卡。您应该看到MyWardData适配器暴露的各种REST API，如下所示。 Security列应显示针对每种REST方法的保护范围UserLogin 。

2. 单击打开“ ldaploginadapter”以检查其配置
3. 单击打开“ SocialLoginAdapter”以检查其配置。

按照基本项目的步骤7中的说明在Android手机上运行该应用程序。代替普通的UserLogin，请测试Google登录按钮或FB登录按钮或LDAPLOGIN按钮。基于选择的按钮，用户身份验证验证机制将有所不同。

下面的屏幕快照显示了应用程序的不同页面。

请参阅使用Chrome Developer工具或故障排除指南来调试Android Hybrid应用的说明，以解决某些常见问题的解决方案。

• 使用IBM MobileFirst Foundation连接到LDAP服务器8.0
• 使用IBM MobileFirst Platform Foundation实施社会登录身份验证8.0
• 身份验证和安全性
• Facebook登录
• Google Signin

Apache 2.0