产品相关
IDaaS
Identity-as-a-Service,身份即服务,企业云身份管理中心,阿里云提供的云身份服务。
EIAM
Enterprise Identity Access Management,企业员工身份管理系统、传统意义上的统一身份认证平台、IAM 系统、4A 平台。面向企业内部 ToE 员工、实习生、临时工与 ToB 合作伙伴、供应商、门店职工的身份管理。阿里云提供的云身份服务。
CIAM
Customer Identity Access Management,企业外部用户身份管理系统,面向消费者、会员、公民市民等外部身份。阿里云提供的云身份服务。
国际化
指产品使用、界面、图片、文档、运营、支持的多语言化。IDaaS 目前支持中、英两种语言。
安全认证
安全认证。阿里云提供的身份认证服务,提供号码认证、IIFAA、WebAuthn、短信认证、OTP 等一揽子无密码登录方式,对接一套 SDK 即全部可用。
零信任
零信任是一套新兴网络架构,行业内普遍采用。零信任架构打破了原有的可信网络环境边界,要求所有服务访问均需要可信身份、合理授权,有效提高了整体网络架构安全性和使用便捷性,在远程办公、多云架构、BYOD 等现代办公条件中应用。
公共云/私有化
公共云 IDaaS 是阿里云 IDaaS 提供的即开即用、灵活定价的云服务。管理员使用阿里云账户,即可立刻开通。
私有化 IDaaS 指代将 IDaaS 部署到您指定的环境中,无论部署在您的阿里云 VPC、AWS、还是线下机房等,均属于私有化范畴。
身份提供方
IdP
Identity Provider,身份提供方,即 IDaaS。源自于 SAML 协议中定义,IdP 为进行用户认证、鉴权,并返回 SAML Response 结果信息给 SP 的身份提供方,后通用化指统一身份管理平台。在当前场景中,IDaaS 即是 IdP。
SP
Service Provider,服务提供方,即应用。源自于 SAML 协议中定义,SP 为接收 IdP 返回结果的解析方,后通用化指接入 IdP 的应用。
AD 活动目录
微软 Active Directory,微软用于企业办公场景中,对组织、账户、权限进行管理的组件,可单独部署。由于其极广的适用性,很多现代应用也支持 AD 作为其账号体系。由于 AD 普遍存在的体验和兼容性问题,通常企业会寻找其他身份方案,比如 IDaaS。
LDAP
Lightweight Directory Access Protocol,轻量级目录访问协议,最常用于和 AD、OpenLDAP 企业目录进行交互,但同样采用与 Apache Directory 等其他系统。
OpenLDAP
广泛使用的,基于 LDAP 协议的开源身份目录。
ADFS
Active Directory Federation Service,AD 联邦服务,Windows Server 的一个默认组件,用于加强传统 AD 在链接外部应用时不够灵活的弊端,使用麻烦、需要维护。
钉钉通讯录
IDaaS 增强钉钉通讯录的能力,实现钉钉通讯录到其他企业账号体系之间身份同步、身份提供等场景。
账户
组织架构
企业以部门为单位的树形结构。
组织
亦称组织机构、Organizational Unit、OU、部门等,企业树形组织架构中的节点,一般对应企业部门。
根组织节点
每个 IDaaS 实例只有一个根节点,对应企业本身,在 IDaaS 中可以修改根节点名称。
账户
每个用户理论上应有且只有一个 IDaaS 账户。账户可登录 IDaaS 应用门户,接入应用 SSO 后,亦可以授权登录应用。
账户生命周期管理
账户从创建(入职)到终止(离职)的全生命周期管理流程,包含禁用、锁定、移动、编辑等操作。
组
组是账户的集合,用于统一进行权限分配,设定同步范围。
同步
在 IDaaS 场景中,同步普遍指代账户、组织在不同系统之间的传递。同步可分为增量、全量,可分为即时、定时,还可按照出方向(从 IDaaS 同步到外部系统)、入方向(外部系统同步到 IDaaS)划分。
SCIM
System for Cross-domain Identity Management,跨域身份管理系统,专用于不同系统之间账户、组织同步的国际通用规范,国内外有大量应用支持接收 SCIM 协议同步请求,以实现不同系统身份的互用性 Interoperability。
应用
单点登录(SSO)
Single Sign-On。指用户仅需一次登录,即可访问全部应用的实现,在历史中根据应用变化,SSO 也有多种实现形态。在 IDaaS 的语境中,我们只把基于 SAML、OIDC 等标准协议的身份联邦机制,称为单点登录。
IdP 发起的单点登录
IdP-init SSO。用户先访问到 IDaaS 应用门户,已处于登录状态后,然后访问应用触发的单点登录。在此流程中,请求由 IDaaS(IdP)发起。
SP 发起的单点登录
SP-init SSO。用户访问到应用,由应用判断是否要进行登录。如果需要登录,应跳转到 IDaaS(IdP)完成认证后,回跳到应用中。在此流程中,请求由应用(SP)发起。
应用账户
Application User,指在单点登录时,已登录 IDaaS 账户在目标应用中所扮演的身份。举例:zhangsan(IDaaS 账户)在“运营平台”应用中是 admin(应用账户)。IDaaS 支持多种应用账户与 IDaaS 账户的关联方式。在同一个应用中,当同时可扮演多个身份时,用户需要选择一个身份进行访问。
签名/验签
基于非对称性加密算法,衍生出的常见使用。举例:IDaaS 在 OIDC SSO 时,对签发的 id_token 使用 RSA-256 算法私钥签名,应用使用公钥验签,确保令牌未经伪造、篡改。
加密/解密
基于对称或非对称加密算法实现。举例:IDaaS 应用进行同步时,IDaaS 支持将同步内容使用 AES-256 加密后传输。应用使用对称密钥,将内容解密后,才能获取到其中内容,确保在不安全网络环境中内容私密性、准确性。
授权
主体(组织、账户)与客体(应用或其他资源)之间的权限分配。IDaaS 中可以统一分配所有接入应用的访问权限,实现企业统一权限管理。在 IDaaS 中,授权特定组织到应用后,组织内账户才拥有访问应用的权限。
SAML
Security Assertion Markup Language 安全断言标记语言,基于 XML,全球使用广泛的单点登录协议,相较 OIDC 而言较为复杂。IDaaS 支持 SAML 2.0。
OIDC
OpenID Connect。OIDC 协议于 2014 年发布,结合了 OpenID 认证协议和 OAuth 2.0 授权协议的优势,是全球通用的现代身份联邦协议,用于实现 SSO、鉴权、委托认证等场景。
JWT
Json Web Token(RFC7519) 狭义上是一种基于 JSON 的信息传输格式。由于传输的内容支持签名和加密,在中国 IAM 语境中,JWT 又经常代表一种简化的、部分基于 OIDC 隐式流的单点登录实现方式。
CAS
Central Authentication Service。全球通用的单点登录协议,支持 B/S 网页应用。
OAuth 2.0
授权协议,虽不是为了 SSO 设计,但也经常用于实现 SSO。由于 OIDC 协议基于 OAuth 2.0 协议实现,两者很多支持的模式是互通的。
access_token/id_token/refresh_token
access_token 是授权令牌,用于调用 IdP 提供的接口。
id_token 是身份令牌,可通过解析 id_token 内容,获取当前已登录账户信息。
refresh_token 是刷新令牌,在 access_token 令牌过期后,可以使用 refresh_token 获取新令牌。
OIDC/OAuth 客户端模式/客户端流
Client Credentials 模式,被授权方不是用户/账户,而是应用服务,用于应用获取调用对应资源/接口的权限。IDaaS 提供 client_id, client_secret 给应用,应用可借其换取 access_token, 调用 IDaaS 指定接口。
OAuth 授权码模式/授权码流
Authorization Code 模式,被授权方是用户,应用通过授权码模式,可获取三方系统身份信息,并以该身份进行登录。常见的钉钉登录、微信登录等均采用授权码模式。
OAuth 设备模式/设备流
Device Flow,用于特定硬件设备中,在设备/终端不支持展示 IDaaS 登录页面时,允许用户在 PC/手机浏览器中访问 IDaaS 登录页,完成登录后,身份将传递到设备/终端,完成登录。
登录
密码复杂度
企业下属账户的密码必须达到的复杂度要求。
懒加载
Lazy Loading、Just-in-time Provisioning,当用户登录时,若 IDaaS 中未找到身份信息,自动转发向企业原有身份体系发起认证请求,当认证通过,该账户信息在 IDaaS 中保存。通常用于密码在原有系统中无法导入 IDaaS,只能使用懒加载逐步导入的场景。
二次认证(MFA/2FA)
Multi-Factor Authentication 多因素认证、Two-Factor Authentication 双因素/二次认证,指在登录时需要提供多种身份认证因子,交叉确认访问者身份。由于密码天然的安全弱点,通常用于加强账号+密码登录方式。IDaaS 中支持对账密认证开启短信、邮件或动态令牌(OTP)二次认证。
OTP
One Time Password 动态口令,一次有效的验证码机制。最常用的 OTP 为 TOTP(Time-based One-Time Password),通常 30s 一变,服务端和客户端(APP)需提前对齐种子、提前校对时间。在同一时间窗口内,客户端(APP)计算的动态口令(OTP)应与服务端一致,从而通过认证。
应用门户
IDaaS 提供的企业访问门户页,可在此页面发起到所有应用的单点登录。可收费进行定制。
- 本页导读 (0)