ArkID企业级IDaaS/IAM平台系统 最新版 v2.6.10

ArkID企业级IDaaS/IAM平台系统是一款开源的统一身份认证授权管理解决方案，支持多种标准协议(LDAP, OAuth2, SAML, OpenID)，细粒度权限控制，完整的WEB管理功能，钉钉、企业微信集成等。

功能特点

插件化
基于Plug-in插件化可扩展的底层应用架构
可在不改动主体程序的情况下灵活极速的给主体程序增加新功能

统一目录
实现企业组织架构和海量人员身份信息的集中安全存储
多维度建立对应关系，安全集成企业身份数据源
实现在一个平台对企业人员、组织架构、应用信息的高效统一管理

单点登录
通过一套用户名和密码即可访问所有工作系统
支持如OIDC，OAuth2，CAS，SAML2等单点登录协议
通过插件定向支持各类自有协议或非标准协议
通过浏览器插件支持账密代填的方式

账号生命周期
实现人员入离调转/组织架构变动等身份信息在不同应用系统中的自动化流转
有效提升账户配置效率，管理时间缩短90%
增加审计效率

多因素认证
支持手机，邮箱，人脸，指纹，扫码等各类认证因素
支持图形验证码，动态验证码等各类二次认证
支持微信，钉钉，企业微信等第三方认证
根据客户不同业务场景及安全需要智能唤起不同组合形式的认证规则

集中授权
支持RBAC，ABAC的权限管理
支持权限数据统一录入，存储和分配
统一权限验证，支持第三方权限系统集成

集中审批
支持自定义审批动作
支持对接第三方审批系统

数据同步
支持SCIM协议，跨系统同步用户与组织架构数据
支持包括用户，组织架构，认证，权限等各类数据同步
支持对多个三方系统以各种组合方式进行同步，如将HR系统数据同步至AD或LDAP服务中

安全审计
实时记录用户和管理员的所有请求行为
支持日志读取至第三方数据分析或安全分析系统中
支持在系统中直接展示第三方数据分析系统的图表
支持安全分析系统对认证规则和认证结果做出干预，实现安全的智能控制

客户端
自带WEB页面
支持各类小程序，手机客户端
插件无需编写前端代码即可展示页面

云原生
支持Docker开发
支持Docker，K8S容器化部署

低代码开发框架
对OpenAPI进行扩展，使前端页面由后端配置驱动
快速构建页面原型
支持自定义CSS主题

插件与应用商店
支持开发者共享出售插件
支持SaaS应用伪本地化
支持代理商代理与分成

通过ArkOS部署#
ArkOS是用来安装K8s和ArkID的命令行工具。

部署时会预装一些应用：

ArkID
kuboard
kubeapps
环境准备#
准备运维操作机器：#
需要准备一台机器来运行docker，用容器来部署arkid 一台centos7+或者ubuntu18+，安装有docker

以下docker环境也可以：

mac安装docker desktop
pc安装docker desktop
pc WSL 2.0 子系统中安装docker

## linux系统快速安装docker

curl -sSL https://get.daocloud.io/docker | sh
准备部署arkid的机器#
一、单台机器部署#
需要准备的文件 - hosts


## hosts 文件格式
## 只需修改ip地址和端口，还有用户名和密码
## 将hosts文件放到运维操作机器中的某个目录
[arkos-masters]
arkos-master01 hostname=arkos-master01 ansible_ssh_host=x.x.x.x ansible_ssh_port=22

[all:vars]
ansible_connection=ssh
ansible_user=root
ansible_password=xxxx
运行部署命令：

## 在运维操作机器执行
## 进入到hosts文件所在目录，执行命令来安装arkid
docker run --rm --mount type=bind,source="$(pwd)"/hosts,target=/etc/ansible/hosts harbor.longguikeji.com/ark-releases/arkos one
二、多台机器部署(如5,6台)#
需要准备的文件

hosts

## hosts 文件格式
## 只需修改ip地址和端口，还有用户名和密码
## 在[arkos-nodes] 下添加或删减机器，记得递增序号
## 将hosts文件放到运维操作机器中的某个目录
[arkos-masters]
arkos-master01 hostname=arkos-master01 ansible_ssh_host=x.x.x.x ansible_ssh_port=22

[arkos-nodes]
arkos-node01 hostname=arkos-node01   ansible_ssh_host=x.x.x.x ansible_ssh_port=22
arkos-node02 hostname=arkos-node02   ansible_ssh_host=x.x.x.x ansible_ssh_port=22

[all:vars]
ansible_connection=ssh
ansible_user=root
ansible_password=xxxx
运行部署命令：


## 在运维操作机器执行
## 进入到hosts文件所在目录，执行命令来安装arkid
docker run --rm --mount type=bind,source="$(pwd)"/hosts,target=/etc/ansible/hosts harbor.longguikeji.com/ark-releases/arkos two
三、生产高可用部署(10+台机器)#
两台机器用来部署 haproxy 三台机器作k8s master 其他机器作k8s node

需要准备的文件 - hosts


## hosts 文件格式
## 只需修改ip地址和端口，还有用户名和密码
## 在[arkos-nodes] 下可以添加或删减机器，记得递增序号
## 将hosts文件放到运维操作机器中的某个目录
[arkos-has]
arkos-halb01 hostname=arkos-halb01 ansible_ssh_host=xx.xx.xx.xx ansible_ssh_port=22
arkos-halb02 hostname=arkos-halb02 ansible_ssh_host=xx.xx.xx.xx ansible_ssh_port=22

[arkos-masters]
arkos-master01 hostname=arkos-master01 ansible_ssh_host=xx.xx.xx.xx ansible_ssh_port=22
arkos-master02 hostname=arkos-master02 ansible_ssh_host=xx.xx.xx.xx ansible_ssh_port=22
arkos-master03 hostname=arkos-master03 ansible_ssh_host=xx.xx.xx.xx ansible_ssh_port=22

[arkos-nodes]
arkos-node01 hostname=arkos-node01 ansible_ssh_host=xx.xx.xx.xx ansible_ssh_port=22
arkos-node02 hostname=arkos-node02 ansible_ssh_host=xx.xx.xx.xx ansible_ssh_port=22

[all:vars]
ansible_connection=ssh
ansible_user=root
ansible_password=root
## 需要准备两个vip，ha_vip是用来给masters的apiserver做负载均衡的；lb_vip是用来给集群中的ingress做负载均衡的，也是需要外部DNS解析到的ip。
arkos_ha_vip=x.x.x.x
arkos_lb_vip=x.x.x.x
运行部署命令：


## 在运维操作机器执行
## 进入到hosts文件所在目录，执行命令来安装arkid
docker run --rm --mount type=bind,source="$(pwd)"/hosts,target=/etc/ansible/hosts harbor.longguikeji.com/ark-releases/arkos three
访问初始化arkid#
浏览器打开网址：http://{arkos-master01-ip}:32580

首次打开arkid，需要输入访问url，此url只能输入这一次，需要慎重！！！

如果生产环境需要域名访问，那请配置好一切之后再填这个url！！！

初始化用户名：admin/admin

访问kuboard#
浏览器打开网址：http://{arkos-master01-ip}:32567

token获取：


## 在 arkos-master01机器上执行
## 复制到 kuboard 登录页面上即可访问
echo $(kubectl -n kube-system get secret $(kubectl -n kube-system get secret | grep ^kuboard-user | awk '{print $1}') -o go-template='{{.data.token}}' | base64 -d)
访问kubeapps#
浏览器打开网址：http://{arkos-master01-ip}:32581

token获取：


## 在 arkos-master01机器上执行
## 复制到 kubeapps 登录页面上即可访问
echo $(kubectl -n kube-system get secret $(kubectl -n kube-system get secret | grep ^kuboard-user | awk '{print $1}') -o go-template='{{.data.token}}' | base64 -d)
更新组件版本#
arkid
在github查看新版本号
https://github.com/longguikeji/arkid-charts/releases
修改部署文件版本号，登录 arkos-master01操作
部署文件的路径：
前两种部署的文件位置：/var/lib/rancher/k3s/server/manifests/arkid.yaml
最后一种高可用的部署文件位置：/var/lib/rancher/k3s/server/manifests/arkid.yaml
保存之后会自动更新

## 修改 version字段，保存退出，稍后会完成更新

apiVersion: helm.cattle.io/v1
kind: HelmChart
metadata:
  name: arkid
  namespace: kube-system
spec:
  chart: arkid
  version: 3.0.13
  repo: https://harbor.longguikeji.com/chartrepo/public
  targetNamespace: arkid
kubeapps
在ArtifactHUB查看新版本号
https://artifacthub.io/packages/helm/bitnami/kubeapps
修改部署文件版本号，登录 arkos-master01操作
部署文件的路径：
前两种部署的文件位置：/var/lib/rancher/k3s/server/manifests/kubeapps.yaml
最后一种高可用的部署文件位置：/var/lib/rancher/k3s/server/manifests/kubeapps.yaml
保存之后会自动更新

## 修改 version字段，保存退出，稍后会完成更新

apiVersion: helm.cattle.io/v1
kind: HelmChart
metadata:
  name: kubeapps
  namespace: kube-system
spec:
  chart: kubeapps
  version: 10.3.1
  repo: https://harbor.longguikeji.com/chartrepo/public
  targetNamespace: kubeapps