文档

术语表-字母表

更新时间:
一键部署

A:

ABAC:Attribute-based Access Control 基于属性的访问控制,基于用户属性进行访问权限判断。

ACL:Access Control List 访问控制列表,一种基于包过滤的访问控制技术。

Access_token: 是授权令牌,用于调用 IdP 提供的接口。

AD:Active Dirctory 活动目录服务,是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。

AK/SK:Access Key ID / Secret Access Key 访问密钥,包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,是您在阿里云的长期身份凭证,是您通过开发工具(API、CLI、SDK)访问阿里云时的身份凭证。您可以通过访问密钥对阿里云API的请求进行签名。阿里云通过AK识别访问用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。

Authentication:登录过程,用于验证请求访问网站或服务的任何实体的身份。实体可以包括人员或自动用户代理,例如API请求。

Automation:自动化。

B:

Branding: 品牌化,用于定义企业应用对客服务过程中,展示的门户设计、品牌Logo、短信消息内容以及语言等品牌化内容。

C:

CAS:Apereo Central Authentication Service,一种传统的单点登录协议,目前使用较少,不常用。

CIAM:Customer Identity & Access Management System用户身份识别与访问管理,为企业提供了针对消费者、会员等外部用户的统一身份管理解决方案。

D:

DLP:Data leakage prevention/Data Loss Prevention数据泄密防护/数据丢失防护,数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。

E:

EIAM:Employee Identity & Access Management System 员工身份识别与访问管理,针对内部员工、生态合作伙伴、分级线下店铺等企业内身份管理,帮助整合部署在本地或云端的内部办公系统、业务系统及三方SaaS系统的所有身份,实现一个账号打通所有应用服务。

EU:End User,用户。

F:

Facial Recognition:人脸识别。

FC:Function Compute,函数计算,阿里云上的一款产品。

Fingerprint Recognition:指纹识别。

G:

GCP:Google Cloud Platform。

H:

Historical Passwords:密码策略的一种,管理员可以设置是否允许用户设置的新密码与历史密码一致,如果不允许,则大大提高了账号安全性,可以很好的防盗号。

I:

IAM:Identity & Access Management 身份识别与访问管理,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

IDaaS:Identity as a Service 身份认证即服务,为企业用户提供的一套集中式身份、权限、应用管理服务,帮助您整合部署在本地或云端的内部办公系统、业务系统及三方SaaS系统的所有身份,实现一个账号打通所有应用服务。

IDP:Identity Provider,身份提供方,管理用户账号的服务。IdPs向服务提供者发送SAML响应,以验证最终用户的单点登录。

IdP-initiated flow:SAML身份验证由身份提供者(IdP)发起。在这个流中,IdP发起一个SAML响应,该响应被重定向到服务提供者,并断言用户的标识。在Okta中,用户单击SAML应用程序的应用程序图标后会触发该进程。

IdP-initiated SSO:身份提供者发起的单点登录。从IdP安全域启动的单点登录操作。IdP联合服务器创建一个联合SSO响应,并使用响应消息和可选操作状态将用户重定向到SP。

ID-Token:JWT格式的数据,包含EU身份认证的信息,可通过解析 id_token 内容,获取当前已登录账户信息。

IPG:Identity Provider Gateway,身份提供方网关,IDaaS系列产品名称。

J:

JWT:JSON Web Token 基于JSON的令牌,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

K:

Key Rotation:密钥轮转,是指采用加密方式生成新的密码,旧的密码作废。

L:

Lazy Loading:Just-in-time Provisioning,当用户登录时,若 IDaaS 中未找到身份信息,自动转发向企业原有身份体系发起认证请求,当认证通过,该账户信息在 IDaaS 中保存。通常用于密码在原有系统中无法导入 IDaaS,只能使用懒加载逐步导入的场景。

LDAP:Light-weighted Data Access Protocol 轻量目录访问协议,轻量级目录访问协议。一种轻量级客户机-服务器协议,用于访问基于x .500的目录服务。LDAP运行在传输控制协议/互联网协议(TCP/IP)或其他面向连接的传输服务上。

M:

MSG:Micro-Segmentation,微隔离,Gartner最早提出,又称Software-Defined Segmentation主要是网络/微服务间东西向的隔离。

MFA:Multi-Factor Authenticatin,多因素认证,指在登录时需要提供多种身份认证因子,交叉确认访问者身份。由于密码天然的安全弱点,通常用于加强账号+密码登录方式。

MAU:Monthly Active User,月活跃用户数量,通常是指在统计的一个月内,登录或使用了产品的用户数(去除重复登录的用户)。

N:

NIST:National Institute of Standards and Technology,美国标准与技术研究所。

Node Event :节点事件,在IDaaS与第三方IAM系统交互的流程中,用于定义交互的事件。

O:

OAuth:An Industry-Standard Protocol for Authorization,国际上授权控制标准。

OIDC:OpenID Connect:国际上认证授权标准,OpenID Connect 基于OAuth 2.0规范族的可互操作的身份验证协议。

OpenID是Authentication,即认证,对用户的身份进行认证,判断其身份是否有效,判断你就是那个用户。

OAuth是Authorization,即授权,在已知用户身份合法的情况下,经用户授权来允许某些操作,授权要在认证之后进行,只有确定用户身份之后才能授权,身份认证 + OAuth2.0 = OpenID Connect。

OP:OpenID Provider,有能力提供EU身份认证的服务方(比如OAuth2中的授权服务),用来为RP提供EU的身份认证信息。

OTP:One Time Password 动态口令,一次有效的验证码机制。最常用的 OTP 为 TOTP(Time-based One-Time Password),通常 30s 一变,服务端和客户端(APP)需提前对齐种子、提前校对时间。在同一时间窗口内,客户端(APP)计算的动态口令(OTP)应与服务端一致,从而通过认证。

P:

Process interaction: 流程交互,由两个及两个以上的流程节点事件按照一定的逻辑顺序排列形成,用于完成一个完整的业务行为,通常用于IDaaS与第三方IAM系统交互的过程中。

PKCE:Proof Key for Code Exchange,获取Token的过程中,利用两个数值比较来验证请求是否是最终用户,防止攻击者盗用Token。

Q:

暂无。

R:

RAM:基于阿里云底座的用于管理用户身份与资源访问权限的服务。

RBAC:Role-Based Access Control基于角色的访问控制,是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。

Refresh_token: 是刷新令牌,在 access_token 令牌过期后,可以使用 refresh_token 获取新令牌。

RP:Relying Party,用来代指OAuth2中的受信任的客户端,身份认证和授权信息的消费方。

S:

SCIM:System for Cross-domain Identity Management:跨域身份管理系统,主要用于账户同步。

SD-IAM:Service Delivered IAM,认证访问管理服务化。

SPG:Service Provider Gateway,服务提供方网关,IDaaS系列产品名称。

SSO:Single Sign On,单点登录,指用户仅需一次登录,即可访问全部应用的实现,在历史中根据应用变化,SSO 也有多种实现形态。在 IDaaS 的语境中,我们只把基于 OIDC、OAuth 等标准协议的身份联邦机制,称为单点登录。

SLA:服务级别协议,每个产品有自身的SLA机制,如果产品自身没有SLA时,以阿里云通用SLA为准。

SK:Secret Access key Id,用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,必须保密。

SDK:Software Development Kit,软件开发工具包,辅助开发某一类软件的相关文档、范例和工具的集合都可以叫做SDK,SDK被开发出来是为了减少程序员工作量的。

S3:简单存储服务,是AWS的标准云存储服务,提供0到5TB的几乎任意大小的任意数量文件的文件(不透明“blob”)存储。

T:

token:令牌。

U:

UD:User Directory,用户目录。

UEBA:User and Entity Behavior Analytics 用户和实体行为分析,基于动态环境模型判断用户、实例行为,并生成对应的分析报表。

UserInfo Endpoint:用户信息接口(受OAuth2保护),当RP使用ID-Token访问时,返回授权用户的信息,此接口必须使用HTTPS。

V:

Validity Period:有效期,主要作用于令牌,一旦超过有效期则令牌作废。

W:

Weak Password:弱密码,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。

Wechat:微信,主要在中国境内使用的社交软件,可以作为企业的身份来源。

X:

X-Engine:X-Engine是阿里云数据库产品事业部自研的联机事务处理OLTP(On-Line Transaction Processing)数据库存储引擎。

XpackRelateDB:关联数据库,为阿里云服务的一种数据库类型。

Y:

暂无。

Z:

ZTA:Zero Trust Architecture,零信任安全架构。

ZTE:Zero Trust Ecosystem,零信任安全生态。

如有其它疑问,请联系IDaaS团队沟通。

  • 本页导读 (0)
文档反馈