全部产品

IDaaS通用-对接指引

本文是为阿里云客户提供的方案,实现和IDaaS的快速对接。聚石塔客户请查看聚石塔身份护航-对接指引。

单点登录

单点登录(SSO),英文全称为 Single Sign On。 SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。

使用场景介绍

1. 单点登录到IDaaS门户

场景:企业内部有多个办公系统,员工访问IDaaS提供的门户,登录后可以看到有权限访问的应用,点击应用图标实现单点登录。

优势:只需要登录一次就可以访问所有应用。

说明: 需要选择IDaaS提供的应用模板,进行单点登录的对接,点击下图中的图标,实现单点登录。

1

2. 访问IDaaS登录页面,直接登录到应用

场景:使用IDaaS提供的登录页面,登录后直接访问到应用中,如登录后直接访问到Jira。

优势:不用访问IDaaS的门户,直接访问应用。

说明: 需要选择IDaaS提供的应用模板,进行单点登录对接,登录页面的logo,公司名称等信息可以自定义设置。

3

3. 访问应用提供的登录页面,IDaaS认证通过后直接访问到应用

场景:企业使用自己的登录页面,当输入IDaaS账户和密码进行登录时,通过接口向IDaaS发送验证请求,验证通过后用户登录到应用。

优势:企业可以使用自己的登录页面,展示风格和内容可以自己维护。

说明:不需要使用IDaaS的应用模板,直接调用IDaaS的登录认证接口进行身份验证。

请参考该文档 https://help.aliyun.com/document_detail/145016.html

应用模板和接口说明

IDaaS支持的应用模板,可以在管理员-添加应用页面看到。

1

如何选择应用模板

1. 如果是标准应用 Jira , Gitlab 等,可以直接使用应用支持的标准协议对接,如Jira选择SAML模板进行对接,更多应用对接请参考单点登录最佳实践。阿里云控制台对接可以参考阿里云控制台单点登录。

2. 如果是自建应用,应用不支持图片验证码的,可以使用表单代填验证是否支持,如果不支持的话,需要应用做少量代码改造,可以使用JWT 或者 OAuth2模板进行改造对接,对接 参考文档。

用户目录

UD(User Directory)用户目录,用于集中管理公司的组织机构,组及账户,管理员通过设置IDaaS中的组织单位、组及账户,实现用户的统一身份管理。一个用户,一套账户密码,对账户进行统一管理,可以在功能上替代传统的AD。

使用场景介绍

1. 应用中的组织/账户和IDaaS同步

场景: 如企业中使用OA管理用户数据,这些数据需要同步到IDaaS,以实现账户单点登录的权限控制,或者使用IDaaS统一管理用户数据。

具体接口请查看应用数据推送到IDaaSIDaaS推送数据到应用。

2. LDAP中的组织/账户和IDaaS同步

场景:如企业中使用LDAP管理用户数据,这些数据需要同步到IDaaS,以实现通过LDAP账户和密码进行单点登录等需求。

具体配置文档请查看 LDAP组织/账户同步到IDaaS使用LDAP账户密码进行单点登录。

3. 钉钉中的组织/账户和IDaaS同步

场景:企业使用钉钉维护用户数据,这些数据需要同步到IDaaS,以实现通过钉钉扫码/钉钉微应用进行单点登录等需求。

具体配置文档查看 钉钉数据同步到IDaaSIDaaS数据同步到钉钉使用钉钉扫码进行登录使用钉钉微应用进行单点登录。

认证源

用户登录到IDaaS门户或者应用中,除了使用账户和密码登录方式以外,IDaaS还提供多种便捷登录方式以及二次认证功能。

1. 便捷认证方式

场景:用户可以使用钉钉扫码,微信扫码,支付宝扫码等方式进行登录。

具体配置方式请参考帮助文档。

2. 二次认证

场景:使用单一的认证方式不满足安全需求,增加双因子认证以保障安全性,如登录后还需要验证OTP,或者短信,加强对用户的身份校验。

具体配置方式请参考帮助文档。

权限系统

IDaaS支持基于角色的权限访问控制(RBAC),以及基于属性的权限访问控制(ABAC)。

1. IDaaS系统权限控制

场景:企业设置分级管理员,以区分不同人员的管理权限,如审计管理员只可以看到审计日志,不能对人员进行入职,离职等操作;北京分公司的管理员只能管理北京的员工的数据,看不到其它区域的员工数据等。

说明:IDaaS系统权限控制只在专属版支持,在标准版不支持该能力,如有需求,可以使用专属版。

2. 自建系统权限控制

场景:企业内部的OA,需要区分不同人员的管理权限,如人事专员可以访问OA,但是不能看到所有页面,只能看到添加员工的页面,并且只具有“入职员工”的权限。该场景可以使用IDaaS统一管理OA的权限,当用户登录时,向IDaaS发送请求,校验该用户的身份以及访问OA的具体的权限。

请查看自建系统具体介绍支持的接口清单。

案例

需求:使用AD账户管理阿里云控制台的RAM账户,实现用户只在AD中管理,不用手动维护RAM账户,用户登录阿里云控制台时可以使用AD账户和密码进行登录。

1. 配置RAM账户单点登录到阿里云控制台;

2. 配置LDAP认证并同步AD账户到IDaaS;

3. 配置IDaaS默认登录方式是AD账户认证,见下面自定义设置

4. 访问RAM子账户登录地址,自动跳转到IDaaS登录页面,认证通过后访问到阿里云控制台。

自定义设置

IDaaS除了以上功能,还支持自定义操作,以下是几个常用操作的介绍。

自定义域名

自定义登录页logo,公司名称等信息

配置阿里云-短信网关

自定义密码策略等内容

5

设置IDaaS登录页面默认登录方式,如设置钉钉扫码,或者AD账户和密码为默认登录方式

121213

其它问题

主子账户关联和绑定