华为云开天企业工作台MSSE对接使用完全指南:从开通到应用集成
1. 开天企业工作台MSSE概述
开天企业工作台(MacroVerse SmartStage for Enterprises,简称MSSE)是华为云推出的一款企业一站式数字化工作台,定位为企业应用的统一门户。在数字化转型的浪潮中,企业往往面临应用系统林立、用户信息分散、登录认证繁琐等痛点。MSSE正是为解决这些问题而生,它为企业提供了用户、组织的统一管理,应用的统一管理和授权,以及应用间的单点登录能力。
从功能架构来看,MSSE涵盖了工作台门户、统一用户、统一组织、统一登录、统一应用授权、应用预装和应用管理等核心模块。工作台门户支持为不同行业提供定制化的门户模板,行业管理员可以定义Web门户和移动门户的布局、行业新闻、应用市场以及登录页设置。统一用户管理让企业管理员能够集中管理企业内所有用户、用户组和角色,实现用户的增删改查与批量导入。统一组织管理则支持部门结构的灵活调整,包括部门的增删改查与导入导出。
统一登录是MSSE的一大亮点——企业用户登录工作台后,即可免密访问工作台内的所有其他应用,无需二次登录。统一应用授权支持按用户、部门、用户组三种粒度对应用进行授权管理,灵活可控。此外,MSSE还提供应用预装能力,根据不同行业预置不同的应用组合,实现开箱即用。在应用管理方面,MSSE支持H5轻应用、小程序、CS桌面应用等多种类型,并兼容CAS、OAuth等多种单点登录协议。
MSSE的访问方式分为管理后台和用户工作台两条路径。管理后台供企业管理员进行系统配置,可通过浏览器(推荐Chrome)访问。用户工作台则面向普通企业员工,支持浏览器访问和移动App访问两种方式。
需要先登录华为云控制台,点击:华为云控制台,还没有账号,点击:注册并关联,已有账号点击:登录后关联
2. 开通MSSE服务
在使用开天企业工作台之前,需要先完成服务的开通操作。整个过程简单快捷,以下是详细步骤:
2.1 前提条件
开通MSSE服务需要满足以下前提条件:已注册华为账号并完成实名认证。如果还没有华为云账号,需要先前往华为云官网完成注册和实名认证流程。
2.2 开通操作步骤
第一步,登录开天企业工作台控制台。在华为云控制台的服务列表中找到"开天企业工作台MSSE",点击进入控制台页面。
第二步,单击"立即开通"按钮,进入"开通开天aPaaS服务"界面。
第三步,填写企业信息。需要选择所属行业(如工业、办公、教育等),填写企业名称和企业简称。这些信息将用于生成企业工作台的门户标识和域名。
第四步,选择所需规格和购买时长。MSSE提供基础版和专业版两种规格。基础版免费,适合小规模试用;专业版支持包年计费,提供更丰富的功能和更高的资源配额。建议根据企业实际规模和需求选择合适的版本。
第五步,勾选服务协议。需要阅读并同意《开天企业工作台服务协议》和《开天集成工作台服务协议》。
第六步,单击"立即开通"完成服务开通。开通成功后进入控制台首页,后续直接登录使用无需再次开通。
3. 管理后台入门配置
服务开通后,企业管理员需要进行一系列初始化配置,才能让工作台正式投入使用。
3.1 登录管理后台
管理员可以通过两种方式登录开天企业工作台的管理后台。
方式一:从华为云控制台进入。登录开天企业工作台控制台后,在服务控制台的总览界面,单击右上角的"登录管理后台"或"工作台链接"区域的管理后台链接。
方式二:从用户工作台跳转。拥有管理员角色的用户登录用户工作台后,进入主页单击右上角角色切换按钮,切换至管理员角色即可进入管理后台。
3.2 配置企业通讯录
通讯录是MSSE的基础数据,用于管理企业的组织架构和人员信息。顶层组织作为根节点在开通服务后自动创建,管理员可以在其下添加多个子组织与用户。
添加组织的操作步骤如下:在管理后台界面上方菜单栏选择"业务管理 > 通讯录"。在通讯录页面,单击右上角的"添加子组织"即可在根节点下创建一级组织。如果需要创建次级组织,单击需要添加子组织旁边的下拉菜单,选择"添加子组织"。
添加员工的操作同样在通讯录模块中完成。管理员可以逐个添加员工信息,也可以通过Excel导入方式批量导入,大幅提升初始化效率。员工信息包括姓名、账号、手机号、邮箱、所属部门等字段。
3.3 角色与权限管理
MSSE通过角色定义来实现权限的精细化管理。角色定义可以用来分类管理角色权限,通过对员工进行角色绑定,赋予员工该角色对应的权限。
创建角色的步骤:在管理后台选择界面上方菜单栏"平台管理 > 角色权限",进入角色管理页面后单击"创建角色",填写角色名称和描述,然后为该角色分配相应的功能权限。需要注意的是,"租户管理员"角色为系统内置角色,不可进行编辑、删除、分配权限等操作,仅可查看。
角色创建完成后,可以在员工管理页面为员工绑定角色,从而实现权限的灵活分配。
4. 应用管理与集成对接
应用管理是MSSE的核心功能之一,也是企业进行系统集成的主要入口。
4.1 应用类型概述
MSSE中的应用根据来源和集成方式的不同,分为以下几种类型:
内置应用:企业工作台预置的应用,如云盘、待办、日程、待办中心等,开箱即用。
预装应用:由系统配置,配置完成后即可使用,包括联邦应用和SaaS应用两种。
订阅应用:企业在华为云商店采购的应用,可以统一在工作台中进行管理和授权。
自建应用:企业自行开发的应用,可以通过MSSE的集成能力发布到工作台中。
4.2 添加自建应用
对于企业自建的应用系统,需要通过"添加自建应用"的方式将其纳入MSSE的统一管理。
操作步骤如下:在管理后台选择"业务管理 > 应用管理"。在应用管理页面单击左侧"单位应用管理"。单击"添加应用",选择"自建应用"类型。填写应用名称、应用描述、应用图标等基本信息。配置应用的单点登录信息,包括认证协议(CAS或OAuth)、回调地址、应用首页地址等。配置完成后保存,应用即添加成功。
4.3 单点登录集成(OAuth协议)
单点登录是MSSE应用集成的核心能力。下面以OAuth 2.0协议为例,详细介绍如何将自建应用与MSSE进行SSO对接。
4.3.1 认证流程概述
MSSE作为OAuth服务提供方,自建应用作为OAuth客户端。整个认证流程如下:用户访问自建应用,应用检测到用户未登录,将用户重定向到MSSE的授权端点。用户在MSSE登录后,MSSE将用户重定向回应用的回调地址并携带授权码。应用后端使用授权码向MSSE的令牌端点换取访问令牌。应用使用访问令牌调用MSSE的用户信息端点获取用户信息。应用根据用户信息建立本地会话,完成登录。
4.3.2 服务端配置
在MSSE管理后台添加自建应用时,需要配置以下OAuth参数:
认证协议:OAuth 2.0
回调地址(Redirect URI):https://your-app.com/oauth/callback
应用首页地址:https://your-app.com
授权范围:openid profile
客户端类型:Web应用配置完成后,MSSE会生成该应用专用的Client ID和Client Secret,需要在自建应用中妥善保存。
4.3.3 自建应用对接代码示例
以下是一个Spring Boot后端应用对接MSSE OAuth登录的代码示例。
首先,配置OAuth客户端参数:
@Configuration
public class OAuth2Config {
@Value("${msse.oauth.client-id}")
private String clientId;
@Value("${msse.oauth.client-secret}")
private String clientSecret;
@Value("${msse.oauth.redirect-uri}")
private String redirectUri;
@Value("${msse.oauth.authorize-url}")
private String authorizeUrl;
@Value("${msse.oauth.token-url}")
private String tokenUrl;
@Value("${msse.oauth.userinfo-url}")
private String userInfoUrl;
@Bean
public OAuth2RestTemplate oAuth2RestTemplate() {
ClientCredentialsResourceDetails resource = new ClientCredentialsResourceDetails();
resource.setClientId(clientId);
resource.setClientSecret(clientSecret);
resource.setAccessTokenUri(tokenUrl);
resource.setUserAuthorizationUri(authorizeUrl);
resource.setScope(Arrays.asList("openid", "profile"));
return new OAuth2RestTemplate(new DefaultOAuth2ClientContext(), resource);
}
}其次,实现授权回调接口:
@RestController
@RequestMapping("/oauth")
public class OAuthController {
@Autowired
private OAuth2RestTemplate oAuth2RestTemplate;
@GetMapping("/callback")
public ResponseEntity<?> callback(@RequestParam("code") String code) {
// 使用授权码换取访问令牌
AuthorizationCodeAccessTokenProvider provider = new AuthorizationCodeAccessTokenProvider();
OAuth2ProtectedResourceDetails resource = getResourceDetails();
OAuth2AccessToken accessToken = provider.obtainAccessToken(resource,
new DefaultOAuth2ClientContext(), code);
// 使用访问令牌获取用户信息
HttpHeaders headers = new HttpHeaders();
headers.setBearerAuth(accessToken.getValue());
HttpEntity<?> entity = new HttpEntity<>(headers);
ResponseEntity<Map> userInfoResponse = oAuth2RestTemplate.exchange(
userInfoUrl, HttpMethod.GET, entity, Map.class);
Map<String, Object> userInfo = userInfoResponse.getBody();
String userId = (String) userInfo.get("sub");
String userName = (String) userInfo.get("name");
String email = (String) userInfo.get("email");
// 根据用户信息创建或更新本地用户,建立会话
User user = userService.findOrCreate(userId, userName, email);
String sessionToken = sessionService.createSession(user);
// 将sessionToken返回给前端
return ResponseEntity.ok(new LoginResponse(sessionToken, user));
}
}前端重定向到MSSE授权页面的示例(JavaScript):
function loginWithMSSE() {
const clientId = 'YOUR_CLIENT_ID';
const redirectUri = 'https://your-app.com/oauth/callback';
const authorizeUrl = 'https://msse.example.com/oauth/authorize';
const state = generateRandomState();
const params = new URLSearchParams({
response_type: 'code',
client_id: clientId,
redirect_uri: redirectUri,
scope: 'openid profile',
state: state
});
window.location.href = `${authorizeUrl}?${params.toString()}`;
}
function generateRandomState() {
return Math.random().toString(36).substring(2, 15);
}4.4 应用授权管理
应用添加完成后,需要进行授权配置,确定哪些用户、部门或用户组可以使用该应用。在应用管理页面找到已添加的应用,单击"设置可见范围"。在可见范围设置中,可以选择"全员可见"或"指定范围可见"。指定范围时,支持按用户、按部门、按用户组三种维度进行授权。配置完成后保存,只有被授权的用户才能在用户工作台中看到并使用该应用。
此外,MSSE还支持设置应用账号映射,将MSSE中的用户账号与应用系统中的账号进行关联,确保用户单点登录后能够正确匹配到应用系统中的对应账号。
5. 门户自定义编排
MSSE提供了灵活的门户自定义编排能力,企业可以根据自身需求打造个性化的专属工作台。
5.1 门户配置流程
门户自定义配置的完整流程包括:配置数据源、创建门户页面、创建门户菜单、创建门户站点。
配置数据源:为门户页面提供数据支撑,可以配置新闻数据源、应用数据源等。
创建门户页面:使用MSSE提供的丰富的模板组件,通过拖拽方式搭建门户页面。页面中可以包含新闻资讯、应用快捷入口、待办事项、日程日历等多种卡片。
创建门户菜单:定义门户的导航菜单结构,包括菜单名称、菜单顺序、菜单链接等。
创建门户站点:将门户页面和门户菜单组合成一个完整的门户站点,并发布上线。
5.2 Web门户与App门户
MSSE同时支持Web门户和App门户的配置。Web门户面向PC端浏览器访问,App门户面向移动端应用访问。两者可以分别独立配置,实现不同终端的不同展示效果。不同行业可以提供不同的行业门户布局模板,如同行业下不同的企业也可以自定义门户布局。
5.3 登录页自定义
企业可以自定义工作台的登录页面,更换登录页的图片及Logo,匹配企业的个性化品牌形象。在管理后台的"企业管理 > 登录页设置"中,可以上传自定义的登录页背景图片、企业Logo,并配置登录页的文案信息。
6. 集成工作台MSSI深度对接
开天企业工作台MSSE与开天集成工作台MSSI(MacroVerse SmartStage for Integrators)紧密协同,共同构成华为云开天aPaaS的核心能力。MSSI是一个基于元数据的可配置集成框架,汇聚了丰富的集成资产与开发工具,帮助企业以低代码甚至零代码的方式完成系统对接、业务流程自动化以及创新应用的快速构建。
6.1 MSSI的核心能力
MSSI的核心价值体现在三个层面:连接企业软件,以无代码方式实现多系统对接;构建企业自动化的业务流程,提升运营效率;基于可复用的组件如数据模型和连接器,以低代码方式快速创建企业应用。
通过MSSI,开发者可以图形化地编排工作流,无需深入了解每个系统的API调用细节。平台预置了大量的公共连接器和流模板,实现了开箱即用的集成体验。同时,MSSI还提供了高效的业务可视化构建能力,支持一次开发、多屏使用。
6.2 开通MSSI服务与授权
MSSI服务使用过程中涉及与OBS、SMN、FunctionGraph、AOM、IVS等云服务的交互,首次使用需要用户配置服务授权,允许访问这些依赖服务。
配置服务授权的步骤:在开天集成工作台界面中选择左侧导航栏中的"管理 > 服务授权"。单击右上角的"添加授权"。在弹出的窗口中单击"同意授权"完成配置。
6.3 创建连接器与编排流
在MSSI中,连接器是连接不同系统的桥梁。开发者可以在集成工作台使用API创建连接器,再通过AppCube平台调用连接器完成应用开发。也可以直接在集成工作台创建API流(连接器)、编排业务流、构建数据模型,再使用其他开发工具调用API等资产完成应用开发。
流编排是MSSI的核心功能。一个流由多个节点组成,每个节点执行一个特定的操作(如调用API、发送邮件、写入数据库等)。开发者可以通过拖拽方式将不同的节点连接起来,形成完整的业务流程。
运行流并查看运行历史记录涉及以下接口:查询流活动记录、查询流运行信息、运行流、禁用流等。调用API运行一个流时,需要传入流操作输入参数,一般为JSON字符串格式。
以下是一个通过API调用运行流的代码示例:
import requests
import json
# 配置信息
api_url = "https://mssi.cn-north-4.myhuaweicloud.com/v1/{project_id}/flows/{flow_id}/run"
access_token = "YOUR_ACCESS_TOKEN"
project_id = "YOUR_PROJECT_ID"
flow_id = "YOUR_FLOW_ID"
# 构建请求头
headers = {
"Content-Type": "application/json",
"X-Auth-Token": access_token
}
# 构建请求体(流输入参数)
payload = {
"input": {
"param1": "value1",
"param2": "value2"
}
}
# 发送请求
url = api_url.format(project_id=project_id, flow_id=flow_id)
response = requests.post(url, headers=headers, json=payload)
if response.status_code == 200:
result = response.json()
print(f"流运行成功,运行ID: {result.get('run_id')}")
else:
print(f"流运行失败: {response.text}")6.4 从MSSI发布应用到MSSE
通过MSSI构建的集成应用或连接器,可以发布到MSSE中作为自建应用供企业员工使用。具体流程为:在应用开发页面完成应用编译,选择"开天企业工作台"作为发布目标。系统会自动将应用发布到MSSE的应用管理列表中。管理员在MSSE管理后台对该应用进行授权配置后,即可在用户工作台中看到并使用该应用。
7. 安全与合规
MSSE在安全方面提供了多层次的保障机制。
7.1 身份认证与访问控制
MSSE支持通过统一身份认证服务IAM进行精细的权限管理。管理员可以给企业中的不同员工设置不同的访问权限,实现权限隔离。如果已经在华为云注册的账号分配了访问权限,不需要给员工创建独立的访问凭证和权限。
7.2 数据保护与服务韧性
MSSE提供了完善的数据保护技术,包括传输加密、存储加密等能力。服务韧性方面,MSSE采用高可用架构设计,确保服务的持续可用。根据服务等级协议,因华为云原因企业工作台连续超过10分钟不可访问且不能提供服务的情况才计入服务不可用时间。
8. 最佳实践与优化建议
8.1 通讯录初始化最佳实践
建议在正式使用前完成完整的组织架构和员工信息的导入。可以利用Excel批量导入功能,一次性完成数百甚至数千员工的账号创建。导入前需要准备好员工姓名、工号、手机号、邮箱、所属部门等必要信息。
8.2 应用集成规划建议
在将企业现有应用接入MSSE之前,建议先梳理企业应用清单,明确每个应用的认证协议类型(OAuth/CAS/其他)、用户体系、是否需要同步组织架构等信息。优先接入高频使用的核心应用(如OA、ERP、邮件系统等),再逐步扩展至其他辅助应用。
8.3 门户设计建议
门户设计应以提升员工办公效率为目标。建议将高频应用放在门户的显眼位置,减少员工寻找应用的时间。新闻公告区可以展示企业的重要通知和文化资讯。待办卡片可以帮助员工快速了解待处理的工作事项。
8.4 成本优化建议
MSSE基础版免费,适合小规模团队试用。对于大规模企业,建议根据实际用户数和应用数选择合适的专业版套餐。可以定期评估实际使用情况,按需调整套餐规格,避免资源浪费。
9. 常见问题解答
问1:开天企业工作台MSSE和开天集成工作台MSSI有什么区别?
答:MSSE是企业一站式数字化工作台,定位为企业应用的统一门户,侧重于用户、组织、应用的管理和单点登录。MSSI是开天集成工作台,定位为企业系统集成的开发平台,侧重于连接器管理、流编排、应用模型等集成能力。两者紧密协同,MSSI构建的集成应用可以发布到MSSE中供企业员工使用。
问2:MSSE支持哪些单点登录协议?
答:MSSE支持多种应用单点登录协议,包括CAS和OAuth。企业可以根据自建应用的技术栈选择合适的协议进行对接。
问3:自建应用对接MSSE需要准备哪些信息?
答:在MSSE管理后台添加自建应用时,需要准备应用名称、应用描述、应用图标、认证协议类型、回调地址(Redirect URI)、应用首页地址等信息。配置完成后,MSSE会生成Client ID和Client Secret,需要在自建应用中妥善保存。
问4:MSSE的用户工作台支持哪些访问方式?
答:MSSE用户工作台支持浏览器访问和移动App访问两种方式。浏览器访问推荐使用Chrome浏览器。移动App支持iOS和Android平台,用户可以通过移动端登录后免密访问轻应用或小程序。
问5:如何将MSSI中编排的流发布到MSSE中使用?
答:在MSSI中完成流的编排和测试后,可以在应用开发页面选择"开天企业工作台"作为发布目标。系统会自动将应用发布到MSSE的应用管理列表中。然后由管理员在MSSE管理后台对该应用进行授权配置,授权后的应用即可在用户工作台中显示和使用。
问6:MSSE的管理后台和用户工作台有什么区别?
答:管理后台供企业管理员使用,用于进行系统配置、通讯录管理、应用管理、角色权限管理等运维操作。用户工作台供普通企业员工使用,是员工日常办公的入口,可以访问被授权的应用、查看新闻公告、处理待办事项等。



