IDaaS通用-对接指引
本文是为阿里云客户提供的方案,实现和IDaaS的快速对接。聚石塔客户请查看聚石塔身份护航-对接指引。
单点登录
单点登录(SSO),英文全称为 Single Sign On。 SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。
使用场景介绍
1. 单点登录到IDaaS门户
场景:企业内部有多个办公系统,员工访问IDaaS提供的门户,登录后可以看到有权限访问的应用,点击应用图标实现单点登录。
优势:只需要登录一次就可以访问所有应用。
说明: 需要选择IDaaS提供的应用模板,进行单点登录的对接,点击下图中的图标,实现单点登录。
2. 访问IDaaS登录页面,直接登录到应用
场景:使用IDaaS提供的登录页面,登录后直接访问到应用中,如登录后直接访问到Jira。
优势:不用访问IDaaS的门户,直接访问应用。
说明: 需要选择IDaaS提供的应用模板,进行单点登录对接,登录页面的logo,公司名称等信息可以自定义设置。
3. 访问应用提供的登录页面,IDaaS认证通过后直接访问到应用
场景:企业使用自己的登录页面,当输入IDaaS账户和密码进行登录时,通过接口向IDaaS发送验证请求,验证通过后用户登录到应用。
优势:企业可以使用自己的登录页面,展示风格和内容可以自己维护。
说明:不需要使用IDaaS的应用模板,直接调用IDaaS的登录认证接口进行身份验证。
请参考该文档 https://help.aliyun.com/document_detail/145016.html
应用模板和接口说明
IDaaS支持的应用模板,可以在管理员-添加应用页面看到。
如何选择应用模板
1. 如果是标准应用 Jira , Gitlab 等,可以直接使用应用支持的标准协议对接,如Jira选择SAML模板进行对接,更多应用对接请参考单点登录最佳实践。阿里云控制台对接可以参考阿里云控制台单点登录。
2. 如果是自建应用,应用不支持图片验证码的,可以使用表单代填验证是否支持,如果不支持的话,需要应用做少量代码改造,可以使用JWT 或者 OAuth2模板进行改造对接,对接 参考文档。
用户目录
UD(User Directory)用户目录,用于集中管理公司的组织机构,组及账户,管理员通过设置IDaaS中的组织单位、组及账户,实现用户的统一身份管理。一个用户,一套账户密码,对账户进行统一管理,可以在功能上替代传统的AD。
使用场景介绍
1. 应用中的组织/账户和IDaaS同步
场景: 如企业中使用OA管理用户数据,这些数据需要同步到IDaaS,以实现账户单点登录的权限控制,或者使用IDaaS统一管理用户数据。
具体接口请查看应用数据推送到IDaaS和 IDaaS推送数据到应用。
2. LDAP中的组织/账户和IDaaS同步
场景:如企业中使用LDAP管理用户数据,这些数据需要同步到IDaaS,以实现通过LDAP账户和密码进行单点登录等需求。
具体配置文档请查看 LDAP组织/账户同步到IDaaS和 使用LDAP账户密码进行单点登录。
3. 钉钉中的组织/账户和IDaaS同步
场景:企业使用钉钉维护用户数据,这些数据需要同步到IDaaS,以实现通过钉钉扫码/钉钉微应用进行单点登录等需求。
具体配置文档查看 钉钉数据同步到IDaaS 、IDaaS数据同步到钉钉 、使用钉钉扫码进行登录 和使用钉钉微应用进行单点登录。
认证源
用户登录到IDaaS门户或者应用中,除了使用账户和密码登录方式以外,IDaaS还提供多种便捷登录方式以及二次认证功能。
1. 便捷认证方式
场景:用户可以使用钉钉扫码,微信扫码,支付宝扫码等方式进行登录。
具体配置方式请参考帮助文档。
2. 二次认证
场景:使用单一的认证方式不满足安全需求,增加双因子认证以保障安全性,如登录后还需要验证OTP,或者短信,加强对用户的身份校验。
具体配置方式请参考帮助文档。
权限系统
IDaaS支持基于角色的权限访问控制(RBAC),以及基于属性的权限访问控制(ABAC)。
1. IDaaS系统权限控制
场景:企业设置分级管理员,以区分不同人员的管理权限,如审计管理员只可以看到审计日志,不能对人员进行入职,离职等操作;北京分公司的管理员只能管理北京的员工的数据,看不到其它区域的员工数据等。
说明:IDaaS系统权限控制只在专属版支持,在标准版不支持该能力,如有需求,可以使用专属版。
2. 自建系统权限控制
场景:企业内部的OA,需要区分不同人员的管理权限,如人事专员可以访问OA,但是不能看到所有页面,只能看到添加员工的页面,并且只具有“入职员工”的权限。该场景可以使用IDaaS统一管理OA的权限,当用户登录时,向IDaaS发送请求,校验该用户的身份以及访问OA的具体的权限。
案例
需求:使用AD账户管理阿里云控制台的RAM账户,实现用户只在AD中管理,不用手动维护RAM账户,用户登录阿里云控制台时可以使用AD账户和密码进行登录。
1. 配置RAM账户单点登录到阿里云控制台;
2. 配置LDAP认证并同步AD账户到IDaaS;
3. 配置IDaaS默认登录方式是AD账户认证,见下面自定义设置
4. 访问RAM子账户登录地址,自动跳转到IDaaS登录页面,认证通过后访问到阿里云控制台。
自定义设置
IDaaS除了以上功能,还支持自定义操作,以下是几个常用操作的介绍。
自定义密码策略等内容
设置IDaaS登录页面默认登录方式,如设置钉钉扫码,或者AD账户和密码为默认登录方式
