浏览器单点登录 (SSO)企业版
Neo4j Browser 为单点登录(SSO)提供商提供支持。这是一项企业功能,需要特定的配置以及 (自托管) Neo4j Server v4.4 及以上版本。此外,您需要已配置好的兼容 SSO 提供商(本地或外部)。有关配置的更多信息,请参阅 操作手册 → OIDC 配置设置。
|
对于除自托管 Neo4j Server v4.4+ 之外的部署,可以使用单独的 OAuth 插件配置 SSO,此过程需要专业服务团队的协助。更多关于专业服务的信息,请访问 /professional-services/。 |
当前支持的提供商包括 OpenID Connect(OIDC)OAuth 2.0 提供商:Google、Keycloak、Microsoft Azure AD 和 Okta。
Browser 支持两种授权流程
-
授权码流程(带 PKCE)
-
隐式流程
|
强烈建议使用 PKCE 以确保安全。有关 OpenID Connect 和 OAuth 的更多信息,请访问 https://openid.net/connect/。 |
|
安全信息应始终通过加密传输进行交换,因此必须使用 HTTPS。单点登录的混合 HTTP/HTTPS 流程不受支持。 |
一旦配置好您的 SSO 提供商,您需要在 Neo4j 中配置 OpenID Connect。这通过按照 操作手册 → 配置 Neo4j 使用 OpenId Connect 中的说明,更新 neo4j.conf 文件来完成。
请确保 neo4j.conf 文件中没有重复条目。
Browser 需要了解可供使用的身份提供商。在使用 Neo4j v4.4+ 时,这在上述 neo4j.conf 文件中指定。
使用更早版本 Neo4j 的部署需要单独的 OAuth 插件并需专业服务团队的协助,如前所述。不过,在此类情况下,身份提供商可以通过 URL 参数 discoveryURL 指定,该参数指向包含 SSO 提供商的 .json 文件的 URL。
Browser 示例
https://<browser-server-host>:<http-port>?discoveryURL=https://webhost.com/public/discovery.json