背景

什么是IDaaS

应用身份服务IDaaS(Identity as a Service)是阿里云原生身份管理系统，可以统一管理各应用中分散的账号，并集中分配应用访问控制权限，降低低效、重复的账号访问配置和运维工作。

IDaaS 旗下的EIAM（Enterprise IAM）面向政企内部身份管理，其服务对象为企业员工、实习生、合作伙伴等。

CIAM（Custromer IAM）面向外部会员进行身份管理，其服务对象为政企外部、消费者、会员、甚至市民公民等。

日志审计一键开启

IDaaS的EIAM应用身份服务已经和SLS日志审计做了深度集成，即通过日志审计可以实现在用户侧的SLS控制台存储和查询其管理操作日志以及用户行为日志。

在日志审计中，用户可以一键式开启IDaaS两种日志类型，支持用户通过采集策略过滤IDaaS实例，支持用户自定义日志保存天数，支持冷热分层存储以及日志服务基本的查询、加工、投递、告警、报表等功能。

下面将介绍一下IDaaS EIAM两种日志（管理操作+用户行为）接入SLS日志审计的最佳实践。

管理操作日志

其中管理操作日志的事件对象包括：账号、组织、应用、授权、身份服务商等资源的全部操作。当用户进行这些操作会产生对应日志，用户可以在SLS日志审计中存储、查询、分析、加工、投递日志内容。

EIAM查看日志

IDaaS事件日志主要从以下四个方面阐述其日志内容：操作者，操作环境、事件、操作对象。下面是一个简单创建应用的事件日志示例。

SLS日志审计查看日志

一键开启接入日志审计之后，其日志字段和说明参见IDaaS日志字段。

下面是在日志审计中查看管理操作日志的具体示例。

用户行为日志

管理操作日志相对比较容易理解，下面将从一个单点登录的例子具体介绍一下IDaaS的用户行为日志。

单点登录（Single Sign On）， SSO 是指在多个应用系统中，用户只需要登录一次，就可以访问所有相互信任的应用系统。

IDaaS SSO 服务用于解决同一公司不同业务应用之间的身份认证问题，只需要登录一次，即可访问所有添加的应用，其应用范围，除了阿里云旗下，也支持其他云服务厂商旗下的各种应用，以及相关开源应用及自研应用等。

IDaaS使用标准 SAML、OIDC 等协议对接常用应用，实现 SSO，提升安全的同时，降低成本提升用户便捷度。

下面主要通过阿里云SSO用户身份和阿里云SSO角色身份两种应用的角度来举例说明如何实现单点登录以及如何在SLS日志审计中查看其用户行为日志。

用户SSO应用登录

前提主要三个步骤：（1）IDaaS下创建阿里云SSO用户应用（2）阿里云RAM SSO基于SAML建立互信（3）IDaaS应用授权用户。然后该用户就可以在SSO中以用户身份登录SLS的控制台了。

EIAM查看日志

其登录事件如下，和管理操作日志一样也分为以下四个角度阐述：操作者，操作环境，事件，操作对象。

SLS日志审计查看日志

接入日志审计之后其日志字段和说明参见IDaaS日志字段

在SLS日志审计中的日志可以查询如下：

角色SSO应用登录

前提四个步骤：（1）阿里云RAM下SSO创建身份提供商（IdP）（2）IDaaS下创建阿里云SSO角色应用，并与IdP创建互信（3）阿里云RAM创建以IdP为授信实体的角色（4）IDaaS SSO角色应用授权用户。然后该用户就可以在SSO中以角色身份登录SLS的控制台了。

这样我们就可以在IDaaS门户，单点登录 阿里云SSO角色应用了。

EIAM查看日志

其日志内容也是基于操作者、操作环境、事件、操作对象四个维度，这里不做展开。

SLS日志审计查看日志

参考文档

IDaaS控制台入口：https://yundun.console.aliyun.com/?p=idaas#/overview/new/cn-hangzhou

IDaaS基本概念：https://help.aliyun.com/document_detail/426090.html

SAML基本介绍：https://help.aliyun.com/document_detail/174224.html