JumpServer是全球首款完全開源的堡壘機，使用GNU GPL v3.0開源許可協議，是符合4A（包含認證Authentication 、授權Authorization、 帳號Accounting和審計Auditing）規範的運維安全審計系統。

JumpServer以Python/Django語言為主進行開發，遵循Web 2.0規範，配備了業界領先的Web Terminal方案，交互界面美觀、用戶體驗優異。此外，JumpServer還採用了分布式架構，能夠支持多機房跨區域部署，支持橫向擴展，並且無資產數量及並發的限制。

JumpServer堡壘機在身份驗證方面提供了多種方式供用戶進行選擇。目前，JumpServer已支持的用戶登錄認證方式包括但不限於LDAP/AD認證、RADIUS認證、OpenID認證、SAML 2.0、CAS認證、SSO對接、企業微信認證、釘釘認證和飛書認證等。

下面就為大家介紹一下JumpServer堡壘機使用OpenID認證方式對接Azure Active Directory（即Azure AD）的具體步驟，旨在為廣大用戶的實際操作提供指引。

Azure AD是什麼？

Azure Active Directory（即Azure AD）是微軟提供的多租戶、基於雲的目錄和標識管理服務。Azure AD將核心目錄服務、應用程式訪問管理和標識保護結合到一個解決方案中，提供基於標準的平台，幫助開發人員根據集中策略和規則為其應用程式提供訪問控制。

Azure AD企業標識服務提供單一登錄和多重身份驗證，受此服務保護的用戶可免受99.9%的網絡安全攻擊。

誰在使用 Azure AD？

Azure AD適用於以下這些人群：

■ IT管理員

IT管理員根據自身的業務要求，可以使用Azure AD來控制用戶對其應用和應用資源的訪問。例如，可以通過Azure AD要求用戶在訪問重要的組織資源時進行多重身份驗證。

另外，還可以使用Azure AD在現有Windows Server AD和雲應用（包括 Microsoft 365）之間自動完成用戶預配，最終利用Azure AD提供的強大工具自動保護用戶標識和憑據，實現訪問管理的需求；

■ 應用開發人員

應用開發人員可以使用Azure AD作為一種基於標準的方法，將單點登錄 (SSO) 添加到應用中，從而允許它使用用戶預先存在的憑據。另外還可以通過Azure AD提供的API來構建個性化的應用體驗，充分使用現有的組織數據；

■ Microsoft 365、Office 365、Azure或Dynamics CRM Online的訂閱者

這些雲服務的訂閱者已在使用Azure AD，每個Microsoft 365、Office 365、Azure和Dynamics CRM Online租戶都會自動成為Azure AD的租戶。

JumpServer使用OpenID對接Azure AD身份認證步驟

1. 通過Azure AD初始化JumpServer應用

① 新註冊應用

② 註冊JumpServer應用

受支持的帳戶類型：哪些用戶可以訪問JumpServer應用，請根據需求進行選擇；

重定向URI：https://{xxxx}/core/auth/openid/callback/ （注意：必須選擇https協議，最後的「/」必須添加，否則訪問會報錯）。

③ 添加客戶端密鑰

④ 獲取端點信息

Azure中國與Azure國際的端點地址會有所不同，選擇對應的信息填入JumpServer OpenID進行配置即可。

2. 在JumpServer中填寫OpenID（OIDC）信息

① 進入JumpServer填寫OIDC信息

② 注意修改令牌有效時間

注意：建議將令牌有效時間修改為大一些的數值，此處修改為600生效（可能由於時區問題，默認60，會報異常）。

③ 登錄成功