功能特性

EIAM 云身份服务

功能集

功能

功能描述

参考文档

钉钉入方向

非敏感数据同步

同步除了手机号、邮箱等敏感字段之外的全部通讯录数据,可扫码配置

钉钉入方向同步

敏感数据同步

同步全部通讯录数据,需创建钉钉企业内部应用

钉钉入方向同步

全量同步

手动同步钉钉通讯录的全部数据到 IDaaS

钉钉入方向同步

增量同步

实时同步钉钉通讯录有变动的数据到 IDaaS

钉钉入方向同步

钉钉扫码登录

钉钉扫码登录到 IDaaS 或 IDaaS 应用

钉钉入方向同步

钉钉工作台免登

在钉钉工作台免登到 IDaaS 或 IDaaS 应用

钉钉入方向同步

基础管理能力

新增、修改、删除等基础管理能力

钉钉入方向同步

钉钉出方向

全量同步

手动同步 IDaaS 的全部数据到钉钉

钉钉出方向

增量同步

实时同步 IDaaS 有变动的数据到钉钉

钉钉出方向

钉钉扫码登录

钉钉扫码登录到 IDaaS 或 IDaaS 应用

钉钉出方向

钉钉工作台免登

在钉钉工作台免登到 IDaaS 或 IDaaS 应用

钉钉出方向

基础管理能力

新增、修改、删除等基础管理能力

钉钉出方向

企业微信入方向

非敏感信息同步

同步除了手机号、邮箱等敏感字段之外的全部通讯录数据

企业微信入方向

敏感信息同步

同步全部通讯录数据

企业微信入方向

全量同步

手动同步企业微信通讯录的全部数据到 IDaaS

企业微信入方向

定时校验

定时同步企业微信的全部数据到 IDaaS

企业微信入方向

企业微信扫码登录

企业微信扫码登录到 IDaaS 或 IDaaS 应用

企业微信入方向

企业微信网页授权登录

在企业微信工作台免登到 IDaaS 或 IDaaS 应用

企业微信入方向

基础管理能力

新增、修改、删除等基础管理能力

企业微信入方向

AD 入方向

全量同步

手动同步 AD 的全部数据到 IDaaS

AD入方向

增量同步

定时同步 AD 中有变动的数据到 IDaaS

AD入方向

自定义用户查询条件

根据 ObjectClass 查询 AD 用户

AD入方向

自定义组织查询条件

根据 ObjectClass 查询 AD 组织

AD入方向

AD 委托认证

使用 AD 账号登录 IDaaS 或 IDaaS 应用

AD入方向

自定义用户登录标识

自定义委托认证时所使用的登录名

AD入方向

自动更新密码

委托认证时,如果 IDaaS 账户的密码为空,则更新为 AD 账户的密码

AD入方向

基础管理能力

新增、修改、删除等基础管理能力

AD入方向

OpenLDAP 入方向

全量同步

手动同步 LDAP 的全部数据到 IDaaS

OpenLDAP 入方向

定时校验

定时同步 LDAP 的全部数据到 IDaaS

OpenLDAP 入方向

自定义用户查询条件

根据 ObjectClass 查询 AD 用户

OpenLDAP 入方向

自定义组织查询条件

根据 ObjectClass 查询 LDAP 组织

OpenLDAP 入方向

LDAP 委托认证

使用 LDAP 账号登录 IDaaS 或 IDaaS 应用

OpenLDAP 入方向

自定义用户登录标识

自定义委托认证时所使用的登录名

OpenLDAP 入方向

自动更新密码

委托认证时,如果 IDaaS 账户的密码为空,则更新为 LDAP 账户的密码

OpenLDAP 入方向

基础管理能力

新增、修改、删除等基础管理能力

OpenLDAP 入方向

OIDC 身份提供方

基础管理能力

新增、修改、删除等基础管理能力

OIDC 身份提供方

OIDC 联邦认证

使用企业级身份提供方(Okta、Azure AD、自研系统等)通过 OIDC 协议登录到 IDaaS EIAM 用户门户。在 IDaaS EIAM 页面中发起单点登录(SP 发起)。

OIDC 身份提供方

OIDC 手动绑定

用户使用 OIDC IdP 登录到 IDaaS 时,可手动绑定存量的 IDaaS 账户。

OIDC 身份提供方

OIDC 自动绑定

用户使用 OIDC IdP 登录到 IDaaS 时,可自动绑定存量的 IDaaS 账户。

OIDC 身份提供方

账户管理

基础管理能力

新增、修改、删除等基础管理能力

账户管理

修改账户状态

启用/禁用/解锁账户

账户管理

重置密码

手动输入或自动生成账户的新密码,并触发密码通知、强制改密(可选)

账户管理

查询账户

基于账户名、显示名、手机号、邮箱、是否属于直属组织节点等条件查询账户

账户管理

账户归属多组织

分配账户归属的一个主组织和多个从属组织

账户管理

高危密码检测

输入密码时,根据密码的泄露情况进行提醒

账户管理

组织管理

基础管理能力

新增、修改、删除等基础管理能力

组织管理

查询组织

基于组织名称查询组织

组织管理

组织树状展示

树状展示组织及全部下级组织

组织管理

组管理

基础管理能力

新增、修改、删除等基础管理能力

组管理

查询组

基于组名称、外部 ID 等条件查询组

组管理

成员管理

将账户添加或移除到组

组管理

查询成员

基于账户名、显示名、手机号、邮箱等条件查询成员

组管理

扩展字段

基础管理能力

新增、修改、删除等基础管理能力

扩展字段

修改扩展字段状态

启用/禁用扩展字段

扩展字段

查询扩展字段

基于字段显示名称查询扩展字段

扩展字段

字段类型配置

支持输入框/下拉框/勾选框等呈现方式、字符串/数字/布尔等数据类型、默认值等配置

扩展字段

必填配置

该字段是否必填

扩展字段

唯一配置

该字段的值是否唯一

扩展字段

加密存储配置

该字段的值是否加密存储(对称加密,不影响现有功能)

扩展字段

可见性配置

设置字段在用户门户中的展现方式,包括:不可见、可见、可编辑

扩展字段

应用市场

快捷模板

快速配置数十款应用的单点登录,包括阿里云用户/角色 SSO、Jira、Gitlab、JumpServer

应用市场

标准模板

配置数十款支持标准协议应用的单点登录,包括北森、致远、销售易、WPS、轻流等

应用市场

SAML 应用

基础管理能力

新增、修改、删除等基础管理能力

SAML 应用

client_id/secret 管理

使用 client_id/secret 调用 IDaaS 接口,支持轮转

SAML 应用

自定义 IdP metadata

自定义 IDaaS 侧的 metadata,包括单点登录地址、应用唯一标识、默认跳转地址、NameID 格式等。支持上传应用侧 metadata 自动配置

SAML 应用

自定义 NameID

自定义单点登录中的账户标识(NameID),包括 IDaaS 账户、应用账户、优先应用账户、表达式等

SAML 应用

授权范围

应用的访问权限授权,包括手动授权和自动授权

SAML 应用

应用账户

管理应用账户(可作为 NameID 的值的选项)

SAML 应用

应用授权

将应用的访问权限授权给用户、组织或组

SAML 应用

OIDC 应用

基础管理能力

新增、修改、删除等基础管理能力

OIDC 应用

client_id/secret 管理

使用 client_id/secret 调用 IDaaS 接口,支持轮转

OIDC 应用

授权码模式

authorization_code 模式,用于账户的登录认证、授权,支持 PKCE

OIDC 应用

令牌刷新模式

refresh_token 模式,用于既有 token 的延期

OIDC 应用

设备模式

device 模式,兼容设备发起的登录流程

OIDC 应用

隐式模式

implicit 模式,由于协议本身的安全性,通常不推荐使用

OIDC 应用

密码模式

password 模式,通过接口直接使用账密认证。由于协议本身的安全性,通常不推荐使用

OIDC 应用

自定义单点登录配置

自定义 OIDC 的单点登录配置,包括登录 Redirect URI、用户信息范围(scopes)、token 有效期、扩展 id_token 字段等

OIDC 应用

授权范围

应用的访问权限授权,包括手动授权和自动授权

OIDC 应用

应用授权

将应用的访问权限授权给用户、组织或组

OIDC 应用

自研应用

自研应用

简化了单点登录配置的 OIDC 应用,适用于大部分企业自研应用接入

自研应用

应用 API(DeveloperAPI)

基础管理能力

启用/禁用 DeveloperAPI 能力

应用 API(DeveloperAPI)

同步范围

控制 DeveloperAPI 能访问到的 IDaaS 账户/组织数据

应用 API(DeveloperAPI)

接口权限

控制账户和组织的查询和管理权限

应用 API(DeveloperAPI)

应用同步出方向 - 快捷模式(事件订阅)

自定义同步基础配置

自定义同步基础配置,包括接收地址、是否加密、加解密钥等

应用同步出方向 - 快捷模式(事件订阅)

是否同步密码

如果开启,则会在特定事件的数据中传递明文密码

应用同步出方向 - 快捷模式(事件订阅)

回调事件

控制触发同步的事件,包括账户和组织的创建、删除、更新、移动等

应用同步出方向 - 快捷模式(事件订阅)

全量推送范围

控制是否同步账户或组织数据

应用同步出方向 - 快捷模式(事件订阅)

增量同步

触发回调事件时,实时同步 IDaaS 有变动的数据到应用

应用同步出方向 - 快捷模式(事件订阅)

全量同步

手动同步 IDaaS 的全部数据到应用

应用同步出方向 - 快捷模式(事件订阅)

应用同步出方向 - SCIM 协议

自定义同步基础配置

自定义同步基础配置,包括 Base URL、OAuth 模式及所需信息、Bearer Token 模式及所需信息等

应用同步出方向 - SCIM 协议

操作调用

控制触发同步的操作类型,包括账户的创建、删除、更新等

应用同步出方向 - SCIM 协议

全量推送范围

控制是否同步账户数据

应用同步出方向 - SCIM 协议

增量同步

触发操作调用时,实时同步 IDaaS 有变动的数据到应用

应用同步出方向 - SCIM 协议

全量同步

手动同步 IDaaS 的全部数据到应用

应用同步出方向 - SCIM 协议

登录方式

账户密码

使用 IDaaS 账户密码登录

登录方式

短信验证码

使用 IDaaS 短信验证码登录

登录方式

WebAuthn

使用 WebAuthn 认证器登录,支持人脸、指纹、PIN 等

登录方式

钉钉扫码/工作台免登

使用钉钉扫码/工作台免登登录,通过身份提供方中的钉钉管理

登录方式

企业微信扫码/工作台免登

使用企业微信扫码/工作台免登登录,通过身份提供方中的钉钉管理

登录方式

AD 委托认证

使用 AD 账号登录,通过身份提供方中的 AD 管理

登录方式

LDAP 委托认证

使用 LDAP 账号登录,通过身份提供方中的 LDAP 管理

登录方式

优先登录方式

支持配置 PC 端/移动端的默认登录方式

登录方式

有效期配置

支持配置会话的保持时间和会话不活跃重登的时间

登录方式

二次认证

常开模式

每次登录都需要二次认证

二次认证

智能模式

不必每次登录都二次认证,由 IDaaS 灵活判断。

二次认证

OTP 动态口令

使用阿里云 APP 或其它常用 OTP APP(如 Google 身份验证器)进行二次认证

二次认证

短信验证码

使用短信验证码进行二次认证

二次认证

邮件验证码

使用邮件验证码进行二次认证

二次认证

WebAuthn

使用 WebAuthn 进行二次认证,包括指纹、人脸、PIN 等

二次认证

密码策略

复杂度

控制密码的复杂度,包括长度、大小写字母/数字/特殊字符、不能包含用户名/显示名/手机号/邮箱等

密码策略

初始密码

控制通过 IdP 导入的账户的初始密码,包括初始化方式、通知方式、是否首次登录改密等

密码策略

定期改密

控制定期修改密码,包括密码有效时长、过期提醒、提醒方式/周期、密码过期效果(禁止登录/强制改密/仅提醒)

密码策略

密码历史

在修改密码时检测历史密码数,新旧密码不可重复

密码策略

忘记密码

控制是否支持忘记密码,可通过短信或邮件进行验证和找回

密码策略

日志

管理日志

记录管理员的操作记录,包括操作者、操作环境、事件、操作对象等

日志

用户日志

记录用户的行为记录,包括操作者、操作环境、事件、操作对象等

日志

同步日志

记录数据同步的记录,包括操作者、操作环境、事件、操作对象等

日志

日志导出

将所有日志自动导出到阿里云 SLS

日志

基础信息个性化

企业信息

企业图标、网页图标、企业名称等个性化

基础信息个性化

语言/时区

设置语言偏好和系统时区

基础信息个性化

自定义域名

使用归属于企业的域名作为 IDaaS 实例的域名

基础信息个性化

应用门户

登录页

IDaaS 统一提供的登录页,供用户登录、二次认证

应用门户

我的应用

用户的工作台,展示账户拥有授权的全部应用列表,点击后可单点登录

应用门户

我的账户

用户自助管理账户信息,包括显示名、扩展字段、手机号、邮箱、密码、动态口令等

应用门户

字段映射

账户字段映射 - 入方向

将身份提供方账户数据同步到 IDaaS 时,将身份提供方账户的字段值作为 IDaaS 账户的字段值

字段映射

组织字段映射 - 入方向

将身份提供方组织数据同步到 IDaaS 时,将身份提供方组织的字段值作为 IDaaS 组织的字段值

字段映射

账户字段映射 - 出方向

将 IDaaS 账户数据同步到身份提供方/应用时,将 IDaaS 账户的字段值作为身份提供方/应用账户的字段值

字段映射

组织字段映射 - 出方向

将 IDaaS 组织数据同步到身份提供方/应用时,将 IDaaS 组织的字段值作为身份提供方/应用组织的字段值

字段映射

自定义映射字段 - 出方向

将 IDaaS 数据同步到身份提供方/应用时,可以自定义身份提供方/应用的账户/组织字段,用于接收 IDaaS 的数据

字段映射

账户映射标识

以该字段作为映射的唯一标识,如果两边字段的值相同,且账户无绑定关系,则绑定账户并修改数据;如果值不相同,则创建并绑定账户

字段映射

表达式引擎

表达式范围

支持在所有身份提供方、应用中使用表达式引擎,通过模型和函数,向返回信息中添加新参数,或实现参数的转化、拼接、判断。例如:当邮箱为空时,取手机号;提取邮箱的用户名

表达式引擎

表达式模型

在表达式中使用模型中字段的数据,分为 IDaaS、IDaaS 应用、身份提供方等三种模型,包括数百个字段

表达式引擎

表达式函数

在表达式中使用函数执行逻辑关系,包括拼接、分隔、替换、去除等数十种函数

表达式引擎

同步保护

账户同步保护

针对身份提供方,进行入方向同步时,如果需要删除的账户数达到阈值,则取消同步任务

同步保护

组织同步保护

针对身份提供方,进行入方向同步时,如果需要删除的组织数达到阈值,则取消同步任务

同步保护

实例管理

基础管理能力

创建、删除等基础管理能力

实例管理

免费试用

免费试用 100 账户数的企业版,试用时长:15天(阿里云)/30天(钉钉)

实例管理

网络端点

专属端点-基础管理能力

新增、修改、删除专属端点等基础管理能力

网络端点

专属私网访问

IDaaS 基于弹性网卡私网连接到客户的 VPC,从而连接到 VPC 中的或 VPC 能访问的 AD/LDAP/应用。主要用于 AD/LDAP 免开公网端口实现数据同步和委托认证

网络端点

专属公网访问

IDaaS 基于弹性网卡私网连接到客户的 VPC,通过弹性公网 IP 或公网 NAT 网关访问公网。主要用于满足企业微信的可信 IP 要求

网络端点

共享公网访问

使用 IDaaS 共享的、固定的公网出口 IP 访问公网

网络端点

CIAM 用户身份服务

功能集

功能

功能描述

参考文档

应用管理

应用类型管理

应用类型分为Web、APP、小程序应用。

应用管理

应用生命周期管理

允许应用的新增、删除、禁用、启用,修改基本信息。

应用管理

应用集成信息管理

密钥轮转和token周期管理

应用管理

单点登录

主要支持OIDC、Oauth协议,可以提供其他协议适配服务,并对回调地址设置白名单

应用管理

注册登录设置

默认提供账号密码登录方式、验证码登录方式。 登录方式可以扩展至QQ登录、微信登录、微博登录、支付宝登录、APPID登录等。支持人脸、指纹、手机号一键登录方式。

应用管理

二次认证

应用支持智能模式、常开模式。 智能模式是指应用基于环境因素动态进行二次认证。如登录时间、登录地址异常会导致用户在登录时需要进行二次认证。 常开模式是指在高安全性要求的环境中,用户必须采用二次认证才能够登录服务。 默认提供密码、验证码两种二次认证方式。

应用管理

应用授权

应用访问权限是指控制访问应用的用户范围,限制特定用户或者用户组可以访问应用。API资源分为用户类型和应用类型两大类。

应用管理

高级设置

管理员可以将已设计完成的主题模板设置到应用中,从而形成统一的门户界面。设定可以访问应用的网络地址,可以采用地址段的形式。

应用管理

账户管理

账户管理

账号生命周期管理包括创建账号、编辑账号、归档账号、解归档、物理删除等。

账户管理

账号组管理

组是一个由管理员管理的用户集合,由管理员手动添加成员进组,并可以以组为单位进行应用访问授权。

账户管理

账户类型管理

账号类型生命周期管理包括账号类型新建、编辑、删除。

账户管理

数据字典

数据字典指的是账号或者账号类型的扩展属性。用于定义用户个性化的账号属性信息。支持枚举值、字符、整型、日期类型。

账户管理

企业组织

企业组织在CIAM中负责B2B场景的企业数据管理,存储基本的企业信息,各类型账户关联关系需在关联账号时选择,来实现指定账号和企业之间的关联。

账户管理

认证管理

认证源

系统内置了一系列认证源模板,包括微信认证源、支付宝认证源、微信认证源等。 管理员可以对认证源进行新增、删除、修改、查看。

认证源

安全认证

提供安全认证的指纹认证服务,通过指纹/人脸/一键登录作为认证源,鉴别用户身份。

安全认证

实人认证

提供阿里云实人认证的模板库的增删改查,启用/禁用。 内置阿里云云盾实人认证身份证二要素认证模板。

实人认证

审计管理

审计日志

查看用户和管理员审计日志

审计管理

用户访问数据报表

不同维度的热力图、折线图、分布图、饼状图等

审计管理

应用数据报表

应用的访问趋势图表

审计管理

授权管理

管理员权限

仅具有系统管理权限的用户可以登录管控控制台。

授权管理

用户权限

管理员可以对单个用户进行应用访问权限控制

授权管理

资源权限

管理员可以设定API资源被访问的权限。

授权管理

安全与合规

同意条款管理

当配置了同意条款时,用户在访问服务时,必须要先同意指定条款,同意后才能继续访问。

安全与合规

风险控制

IP失败次数、IP黑名单、IP白名单、访问位置异常检测、图形验证码、弱密码检测等

安全与合规

数据安全

可以查看和轮转密钥

安全与合规

异常账户状态

禁用和锁定账户

安全与合规

品牌化

主题模板

IDaaS内置默认主题模板,该模板为系统自带。管理员可以对主题模板进行新建、修改、删除、预览操作。

主体模块

个性化配置

设置自定义域名, 实现用户登录地址的自定义。

个性化配置

短信相关

短信网关和模板配置

短信网关

邮件相关

邮件网关和模板配置

邮件网关

多语种

管理员可以配置多种语言类型。

多语种

用户安全中心

注册

手机号 + 验证码注册、社交身份 + 手机号 + 验证码登录

用户管理

登录

用户名/手机号/邮箱+密码登录、社交平台登录、邮箱验证码登录、短信验证码登录、国际手机号登录、忘记密码

用户管理

图片验证码

IDaaS 内置图片验证码机制,在注册或登录时一旦触发验证码机制,就会显示图片验证码。

用户管理

身份安全设置

退出登录、自助修改密码/手机号/邮箱/个人信息、注销账号等

用户管理

应用集成及二次开发

与第三方系统交互

支持流程交互、事件钩子定义、事件回调生命周期管理等

应用集成

API集成

支持APISDK集成

API集成

安全认证

功能集

功能

功能描述

参考文档

验证码认证

验证码基本能力

向指定手机号发送和校验短信验证码

验证码认证

图形验证码基本能力

发送短信验证码时,可触发图形验证码的校验

验证码认证

验证码个性化

可申请短信的签名和模板

验证码认证

手机号认证

一键登录

经过用户授权后,可以从网关侧获取用户当前使用的手机号,快速完成注册或登录流程。

手机号认证

Android SDK

支持 Android SDK

Android SDK

iOS SDK

支持 iOS SDK

iOS SDK

授权页面个性化

可自定义授权页面的样式,包括不同位置的颜色、文字、大小等

手机号认证

生物识别(IFAA)

指纹、人脸登录

利用内嵌在移动端硬件加密区的计算能力,结合设备原生的指纹、人脸识别等生物识别能力,进行金融级、硬件级身份认证。

生物识别(IFAA)

Android SDK

支持 Android SDK

生物识别(IFAA)

iOS SDK

支持 iOS SDK

生物识别(IFAA)

生物识别(WebAuthn)

人脸、指纹登录

利用 PC 端设备原生的设备加密和生物识别能力,进行网站的登录。

生物识别(WebAuthn)

客户端 JS SDK

提供客户端 JS SDK

生物识别(WebAuthn)

服务端 Java SDK

提供服务端 Java SDK

生物识别(WebAuthn)

动态口令(TOTP)

动态口令认证

使用 TOTP 对用户进行认证

动态口令(TOTP)

管理认证器

用户可自助注册和删除 TOTP 认证器

认证器管理