Stirling-PDF项目SSO集成配置指南

背景介绍

Stirling-PDF是一款功能强大的PDF处理工具，支持多种单点登录(SSO)集成方式。在实际企业环境中，SSO集成能够简化用户认证流程，提高安全性。本文将详细介绍如何为Stirling-PDF配置常见的SSO解决方案，包括Keycloak、Authentik和Okta等。

SSO集成概述

Stirling-PDF支持两种主要的SSO协议：

1. OAuth 2.0/OpenID Connect：现代应用广泛采用的认证协议
2. SAML 2.0：企业环境中常见的单点登录标准

OAuth/OpenID Connect配置详解

通用配置参数

以下是Stirling-PDF中OAuth/OpenID Connect的核心配置项：

issuer: [提供商的发现端点URL]
clientId: [客户端ID]
clientSecret: [客户端密钥]
autoCreateUser: true # 允许自动创建新用户
blockRegistration: false # 是否禁止未注册用户登录
useAsUsername: email # 使用用户邮箱作为用户名
scopes: openid,profile,email # 请求的权限范围
provider: [提供商名称] # 如keycloak, authentik等

Authentik配置示例

对于Authentik提供商，典型配置如下：

issuer: http://your-server:9000/application/o/stirlingpdf/
clientId: 5ibI9L0
clientSecret: [已屏蔽的客户端密钥]
autoCreateUser: true
blockRegistration: false
useAsUsername: email
scopes: openid, profile, email
provider: authentik

配置步骤

1. 在Authentik管理界面创建新应用
2. 配置重定向URI为Stirling-PDF的回调地址
3. 设置客户端类型为"机密"
4. 复制生成的客户端ID和密钥到Stirling-PDF配置中

SAML 2.0配置详解

SAML配置目前处于alpha阶段，需要启用实验性功能：

enableAlphaFunctionality: true

SAML核心配置

saml2:
  enabled: true
  autoCreateUser: true
  blockRegistration: false
  registrationId: stirling
  idpMetadataUri: [身份提供者元数据URL]
  idpSingleLogoutUrl: [单点登出URL]
  idpSingleLoginUrl: [单点登录URL]
  idpIssuer: [身份提供者名称]
  signingKey: [签名密钥文件路径]
  spCert: [服务提供者证书路径]
  idpCert: [身份提供者证书路径]

Authentik的SAML配置示例

saml2:
  enabled: true
  autoCreateUser: true
  blockRegistration: false
  registrationId: stirling
  idpMetadataUri: http://your-server:9000/application/saml/stirlingpdf/metadata/
  idpSingleLogoutUrl: http://your-server:9000/application/saml/stirlingpdf/slo/binding/post/
  idpSingleLoginUrl: http://your-server:9000/application/saml/stirlingpdf/sso/binding/post/
  idpIssuer: authentik
  signingKey: /path/to/signing_key.pem
  spCert: /path/to/certificate.pem
  idpCert: /path/to/certificate.pem

常见问题解决

1. 证书问题：确保所有证书文件路径正确且权限适当
2. 元数据端点：验证身份提供者的元数据端点可访问
3. 回调URL：检查Stirling-PDF的回调URL是否在身份提供者中正确配置
4. 作用域设置：根据应用需求调整请求的作用域

安全建议

1. 在生产环境中使用HTTPS
2. 定期轮换客户端密钥
3. 限制令牌的有效期
4. 启用日志记录以监控认证活动

总结

通过本文介绍的配置方法，管理员可以轻松将Stirling-PDF集成到现有的企业身份管理系统中。无论是选择OAuth/OpenID Connect还是SAML协议，都能实现安全、便捷的单点登录体验。对于初次配置的用户，建议从OAuth/OpenID Connect开始，待熟悉后再尝试SAML集成。