阿里云首页 应用身份服务

主子账户介绍

本文介绍如何通过应用管理功能添加应用子账户。通过添加应用子账户,用户可以通过IDaaS单点登录到其他应用。

背景信息

传统应用的登录方式通过输入用户名和密码,随着日常办公软件数量的不断增加、用户需要记忆多套用户名和密码,给用户带来负担;统一所有用户名和密码固然方便,却会令企业账户体系面临严重的安全隐患。

解决方案

IDaas提供单点登录功能,只需使用单点登录协议和应用对接,并完成主子账户的绑定,即可实现一次登录访问所有授权应用的目的。应用之间后续进行切换时,无需再次输入用户名和密码,全面提升用户办公效率。

主子账户介绍

在进行单点登录时,IDaaS 会向应用系统传递对应的子账户,该子账户需要在应用系统中存在且可识别。

主账户:主账户指的是 IDaaS 中的账户;

子账户:子账户指的是在指定应用系统中,用户会以什么身份进行访问,是单点登录时带给应用的身份标识,存在于对接的第三方业务系统中。

示例:

在IDaas的机构及组中创建了gc_test这个账户,该账户在绑定主子账户的时候是作为主账户存在。

1

在对接的第三方业务系统中,存在gc_zzh这个账户,该账户在绑定主子账户时是作为子账户存在。

从应用管理页面,点击查看应用子账户,可以进行主子账户绑定。

该主子账户绑定后,以gc_test这个账户登录IDaas用户端,点击对应的应用进行单点登录,IDaaS 会向应用系统传递对应的子账户gc_zzh,最终以gc_zzh的身份登录到第三方业务系统。

5

账户关联方式介绍

管理员在添加应用的时候,可以选择账户关联的方式,账户关联方式分为两种:账户关联和账户映射。

  • 账户关联:系统按照子账户对应关系进行手动关联,适合主账户和子账户名称不同的情况;

  • 账户映射:指系统自动将主账户名称作为应用的子账户,适合主账户和子账户名称相同的情况。

6

当选择账户映射时, 如下图登录IDaaS门户后,不需要手动给用户关联子账户,会自动根据主账户生成同名的子账户,并自动进行主子账户绑定。

11

账户关联的方式,如何进行绑定主子账户请查看手动绑定主子账户

应用授权

创建好应用后,需要确认应用是开启状态, 并点击授权,将应用授权到IDaaS账户或者组织机构。

1213

手动绑定主子账户

手动关联子账户可以分为两种方式:

  • 由管理员直接操作。

  • 由用户本人进行申请,管理员对用户的申请进行审批

1. 由管理员直接操作

1.1 手动1对1绑定

管理员点击应用的“详情”按钮,点击“查看应用子账户”即可对应用的所用子账户进管理,包括添加应用子账户操作。

21

管理员可以点击“添加账户关联”按钮手动为该应用添加一个关联子账户。

23

输入主账户的邮箱/手机号/账户名称以及子账户信息,点击保存按钮,即可成功添加一条账户关联。
22

1.2 手动批量绑定

管理员可以点击右上角“批量导入”按钮,从文件批量导入关联子账户。
25
点击“批量导入”按钮后,跳转到导入账户关联页面,点击上传文件,选择需要上传的文件。(上传文件的格式可以参考下载的“账户关联格式范例文档”)。
26
A列是主账户名称,B列是子账户名称,两个账户相互对应。

26
上传成功后,点击“导入文件”按钮。
27
系统会自动检测上传文件的内容,并返回每一条记录的检测结果。管理员可以查看检测结果,并根据结果修改文件,或移除某一条导入数据。确认无误之后,点击右上角“确定上传导入”即可实现批量添加应用子账户。
28

2. 由用户申请绑定主子账户

首先使用普用户登录IDaas用户端, 登录方式请参考用户登录。

  • 支持在用户门户首页申请绑定主子账户

  • 支持在查看子账户页面进行绑定申请

2.1 在用户门户首页申请绑定

可以在首页的免登应用栏中直接点击对应应用

31

提示用户进行子账户的添加,用户输入子账户,等待管理员审批通过后即可添加该应用的子账户。

32

点击提交账户关联。

33

2.2 在查看子账户页面申请绑定

也可以在导航栏中选择应用子账户,点击右上角的“添加应用子账户”进行子账户的添加。

33

用户选择添加子账户的应用,输入子账户,点击保存按钮。等待管理员审批通过,即完成了添加子账户。

35

2.3 管理员进行审批

用户发出添加子账户的申请之后,管理员会收到添加子账户的申请。
管理员可以在审批中心下的子账户审批中对该用户添加子账户操作进行审批,同意申请后,用户即可成功添加应用子账户。
36

若以上步骤全部成功完成,即完成添加应用子账户的功能,可以使用IDaaS账户进行单点登录应用。

37