AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 应用身份服务 (IDaaS) EIAM 云身份服务 操作指南 资产管理 凭据管理

凭据管理

更新时间:
复制为 MD 格式
产品详情
我的收藏

提供统一 的凭据与凭据提供商管理能力,将分散在代码、配置或人工传递中的凭据集中加密保存,并按最小权限授权给指定应用或用户。应用在运行时通过接口/SDK 安全获取并使用,无需在本地明文落盘或硬编码,从而降低泄露风险、提升凭据管理与变更效率。

概念介绍

为什么需要凭据管理?

在数字化身份架构中,身份(Identity) 是“你是谁”,而 凭据(Credential) 则是证明“你是谁”的数字化证据。

随着微服务架构、API 经济以及零信任安全模型的普及,系统间的交互不再局限于“用户登录”,更多的是一种“机器对机器”或“服务对服务”的信任传递。IDaaS(身份即服务)作为信任的中心,其核心职能之一便是对这些凭据进行全生命周期的统一管理。

什么是凭据?

在 IDaaS 语境下,凭据是指用于验证主体(用户、设备、应用服务)身份的一组数据或密钥。

您可以将凭据类比为现实生活中的证件:

  • 长期凭据类似于身份证或家门钥匙:长期有效,由用户自行保管,丢失后需要挂失补办(轮换)。

  • 短期凭据类似于酒店房卡或演唱会门票:短期有效,由系统颁发,过期自动失效,且通常包含特定的权限范围。

不同凭据类型的对比如下:

特性

长期凭据

短期凭据

典型代表

API Key, AK/SK

JWT, OAuth Token

有效期

长期,需手动轮换

短期,自动过期

管理方式

管理密钥本身 (创建、查看、撤销)

管理颁发规则 (算法、有效期、签发者)

获取方式

人工从密钥颁发方获取后保存到客户端

客户端通过 JWT 或 OAuth2 等协议自动从凭据提供方获取凭据

安全性

依赖保密性,泄露风险高

依赖签名与时效,泄露风险可控

IDaaS 中的凭据分类

为了适应不同的安全场景,IDaaS 将凭据划分为凭据提供商凭据两类配置界面。理解它们的差异是正确配置的前提。

访问凭据管理配置界面

  1. 登录应用身份管理控制台

  2. 单击EIAM 云身份服务菜单。

  3. 定位目标 EIAM 实例,单击操作列下的访问控制台

  4. 单击导航栏资产管理 > 凭据

凭据提供商管理

创建凭据提供商

  1. 访问凭据管理配置界面

  2. 选择凭据提供商页签。

  3. 鼠标移动到创建凭据提供商上,选择 OAuthJWT

  4. 完成对应配置项。

    OAuth配置项

    • 凭据提供商名称:仅用于控制台显示,不参与实际认证过程。

    • 描述:描述信息,不参与实际认证过程。

    • 凭据供应商标识:凭据提供商的唯一标识。

    • Client ID:OAuth 凭据提供商分配的客户端标识符,IDaaS 向 OAuth 发起请求时的标识信息

    • Client Secret:与 Client ID 配合使用的客户端密钥,由 OAuth 凭据提供商生成,IDaaS 向 OAuth 发起请求时的密钥信息

    • Token Endpoint:Token 令牌端点,用于 IDaaS 使用授权码向 OAuth 凭据提供商换取令牌

    • Scope:客户端应用的默认权限,键入后回车即可录入,支持录入多个。若客户端应用发起请求时指定了 Scope,则以客户端应用指定的 Scope 为准,若客户端应用发起请求时未指定 Scope,则使用此处配置的 Scope。

    JWT配置项

    凭据提供商名称:仅用于控制台显示,不参与实际认证过程。

    描述:描述信息,不参与实际认证过程。

    凭据供应商标识:凭据提供商的唯一标识。

    生成短令牌:启用后,在调用该凭据提供商生成令牌时,除生成标准的 JWT 格式令牌外,额外生成一个短令牌。

    Jwt token的有效期:令牌有效期,支持以分钟、小时和天为单位。

    Issuer白名单:如需限制 JWT 请求中自定义的 Issuer,可以配置 Issuer 白名单。配置 Issuer 白名单后,不在白名单中的 JWT 请求将被拒绝。

查看凭据提供商

  1. 访问凭据管理配置界面

  2. 选择凭据提供商页签。

  3. 单击目标凭据提供商操作列下的详情,即可查看凭据提供商的详细信息。

修改凭据提供商

  1. 访问凭据管理配置界面

  2. 选择凭据提供商页签。

  3. 单击目标凭据提供商操作列下的编辑,即可修改已有凭据提供商。

删除凭据提供商

凭据需禁用后才可删除。

  1. 访问凭据管理配置界面

  2. 选择凭据提供商页签。

  3. 状态列下禁用目标凭据。

  4. 单击操作下的删除,即可删除已有凭据。

凭据管理

创建凭据

IDaaS中托管第三方应用凭据,凭据默认采用加密方式存储。

配置步骤如下:

  1. 访问凭据管理配置界面

  2. 单击凭据页签。

  3. 鼠标移动到创建凭据上,选择 API Key。

  4. 完成如下配置信息:

    • 凭据名称:仅用于控制台显示。

    • 描述:凭据的描述信息。

    • 业务类型:选择大模型三方服务,分别对应Agent 身份安全配置指导中的大模型三方服务节点。

    • API Key标识:托管的 API Key 的唯一标识。

    • API Key:托管的 API Key。

    • 安全存储默认加密凭据,保存在阿里云 KMS 凭据管家中,不支持取消。

查看凭据

  1. 访问凭据管理配置界面

  2. 单击凭据页签。

  3. 单击目标凭据操作列下的详情按钮,即可查看凭据的详细信息。

修改凭据

  1. 访问凭据管理配置界面

  2. 单击凭据页签。

  3. 单击目标凭据操作列下的编辑,即可修改已有凭据。

    重要

    出于安全考虑,API Key在编辑时不展示原始内容。可以选择留空以保留现有密钥,或输入新值以覆盖更新。

删除已有凭据

凭据需禁用后才可删除。

  1. 访问凭据管理配置界面

  2. 单击凭据页签。

  3. 状态列下禁用目标凭据。

  4. 单击操作下的删除,即可删除已有凭据。

常见问题

问题:访问凭据管理配置界面时,提示缺少IDaaS EIAM服务关联角色,无法将凭据托管至KMS凭据管家,去创建。

解决方案:根据提示点击去创建,完成授权后即可正常创建凭据,否则创建凭据时会报错。

上一篇:云身份管理下一篇:权限中心