產品相關
IDaaS
Identity-as-a-Service,身份即服務,企業云身份管理中心,阿里云提供的云身份服務。?
EIAM
Enterprise Identity Access Management,企業員工身份管理系統、傳統意義上的統一身份認證平臺、IAM系統、4A平臺。面向企業內部ToE員工、實習生、臨時工與ToB合作伙伴、供應商、門店職工的身份管理。阿里云提供的云身份服務。?
CIAM
Customer Identity Access Management,企業外部用戶身份管理系統,面向消費者、會員、公民市民等外部身份。阿里云提供的云身份服務。?
國際化
指產品使用、界面、圖片、文檔、運營、支持的多語言化。IDaaS目前支持中、英兩種語言。?
安全認證
安全認證。阿里云提供的身份認證服務,提供號碼認證、IIFAA、WebAuthn、短信認證、OTP等一攬子無密碼登錄方式,對接一套SDK即全部可用。?
零信任
零信任是一套新興網絡架構,行業內普遍采用。零信任架構打破了原有的可信網絡環境邊界,要求所有服務訪問均需要可信身份、合理授權,有效提高了整體網絡架構安全性和使用便捷性,在遠程辦公、多云架構、BYOD等現代辦公條件中應用。?
公共云/私有化
公共云IDaaS是阿里云IDaaS提供的即開即用、靈活定價的云服務。管理員使用阿里云賬戶,即可立刻開通。
私有化IDaaS指代將IDaaS部署到您指定的環境中,無論部署在您的阿里云VPC、AWS、還是線下機房等,均屬于私有化范疇。
身份提供方
IdP
Identity Provider,身份提供方,即IDaaS。源自于SAML協議中定義,IdP為進行用戶認證、鑒權,并返回SAML Response結果信息給SP的身份提供方,后通用化指統一身份管理平臺。在當前場景中,IDaaS即是IdP。?
SP
Service Provider,服務提供方,即應用。源自于SAML協議中定義,SP為接收IdP返回結果的解析方,后通用化指接入IdP的應用。?
AD活動目錄
微軟Active Directory,微軟用于企業辦公場景中,對組織、賬戶、權限進行管理的組件,可單獨部署。由于其極廣的適用性,很多現代應用也支持AD作為其賬號體系。由于AD普遍存在的體驗和兼容性問題,通常企業會尋找其他身份方案,比如IDaaS。?
LDAP
Lightweight Directory Access Protocol,輕量級目錄訪問協議,最常用于和AD、OpenLDAP企業目錄進行交互,但同樣采用與Apache Directory等其他系統。?
OpenLDAP
廣泛使用的,基于LDAP協議的開源身份目錄。?
ADFS
Active Directory Federation Service,AD聯邦服務,Windows Server的一個默認組件,用于加強傳統AD在鏈接外部應用時不夠靈活的弊端,使用麻煩、需要維護。?
釘釘通訊錄
IDaaS增強釘釘通訊錄的能力,實現釘釘通訊錄到其他企業賬號體系之間身份同步、身份提供等場景。
賬戶
組織架構
企業以部門為單位的樹形結構。
組織
亦稱組織機構、Organizational Unit、OU、部門等,企業樹形組織架構中的節點,一般對應企業部門。?
根組織節點
每個IDaaS實例只有一個根節點,對應企業本身,在IDaaS中可以修改根節點名稱。?
賬戶
每個用戶理論上應有且只有一個IDaaS賬戶。賬戶可登錄IDaaS應用門戶,接入應用SSO后,亦可以授權登錄應用。?
賬戶生命周期管理
賬戶從創建(入職)到終止(離職)的全生命周期管理流程,包含禁用、鎖定、移動、編輯等操作。?
組
組是賬戶的集合,用于統一進行權限分配,設定同步范圍。?
同步
在IDaaS場景中,同步普遍指代賬戶、組織在不同系統之間的傳遞。同步可分為增量、全量,可分為即時、定時,還可按照出方向(從IDaaS同步到外部系統)、入方向(外部系統同步到IDaaS)劃分。?
SCIM
System for Cross-domain Identity Management,跨域身份管理系統,專用于不同系統之間賬戶、組織同步的國際通用規范,國內外有大量應用支持接收SCIM協議同步請求,以實現不同系統身份的互用性 Interoperability。
應用
單點登錄(SSO)
Single Sign-On。指用戶僅需一次登錄,即可訪問全部應用的實現,在歷史中根據應用變化,SSO也有多種實現形態。在IDaaS的語境中,我們只把基于SAML、OIDC等標準協議的身份聯邦機制,稱為單點登錄。?
IdP發起的單點登錄
IdP-init SSO。用戶先訪問到IDaaS應用門戶,已處于登錄狀態后,然后訪問應用觸發的單點登錄。在此流程中,請求由IDaaS(IdP)發起。?
SP發起的單點登錄
SP-init SSO。用戶訪問到應用,由應用判斷是否要進行登錄。如果需要登錄,應跳轉到IDaaS(IdP)完成認證后,回跳到應用中。在此流程中,請求由應用(SP)發起。?
應用賬戶
Application User,指在單點登錄時,已登錄IDaaS賬戶在目標應用中所扮演的身份。舉例:zhangsan(IDaaS賬戶)在“運營平臺”應用中是admin(應用賬戶)。IDaaS支持多種應用賬戶與IDaaS賬戶的關聯方式。在同一個應用中,當同時可扮演多個身份時,用戶需要選擇一個身份進行訪問。?
簽名/驗簽
基于非對稱性加密算法,衍生出的常見使用。舉例:IDaaS在OIDC SSO時,對簽發的id_token使用RSA-256算法私鑰簽名,應用使用公鑰驗簽,確保令牌未經偽造、篡改。?
加密/解密
基于對稱或非對稱加密算法實現。舉例:IDaaS應用進行同步時,IDaaS支持將同步內容使用AES-256加密后傳輸。應用使用對稱密鑰,將內容解密后,才能獲取到其中內容,確保在不安全網絡環境中內容私密性、準確性。?
授權
主體(組織、賬戶)與客體(應用或其他資源)之間的權限分配。IDaaS中可以統一分配所有接入應用的訪問權限,實現企業統一權限管理。在IDaaS中,授權特定組織到應用后,組織內賬戶才擁有訪問應用的權限。?
SAML
Security Assertion Markup Language安全斷言標記語言,基于XML,全球使用廣泛的單點登錄協議,相較OIDC而言較為復雜。IDaaS支持SAML 2.0。?
OIDC
OpenID Connect。OIDC協議于2014年發布,結合了OpenID認證協議和OAuth 2.0授權協議的優勢,是全球通用的現代身份聯邦協議,用于實現SSO、鑒權、委托認證等場景。?
JWT
Json Web Token(RFC7519) 狹義上是一種基于JSON的信息傳輸格式。由于傳輸的內容支持簽名和加密,在中國IAM語境中,JWT又經常代表一種簡化的、部分基于OIDC隱式流的單點登錄實現方式。?
CAS
Central Authentication Service。全球通用的單點登錄協議,支持B/S網頁應用。?
OAuth 2.0
授權協議,雖不是為了SSO設計,但也經常用于實現SSO。由于OIDC協議基于OAuth 2.0協議實現,兩者很多支持的模式是互通的。?
access_token/id_token/refresh_token
access_token是授權令牌,用于調用IdP提供的接口。
id_token是身份令牌,可通過解析id_token內容,獲取當前已登錄賬戶信息。
refresh_token是刷新令牌,在access_token令牌過期后,可以使用refresh_token獲取新令牌。?
OIDC/OAuth客戶端模式/客戶端流
Client Credentials模式,被授權方不是用戶/賬戶,而是應用服務,用于應用獲取調用對應資源/接口的權限。IDaaS提供client_id, client_secret 給應用,應用可借其換取access_token, 調用IDaaS指定接口。?
OAuth授權碼模式/授權碼流
Authorization Code模式,被授權方是用戶,應用通過授權碼模式,可獲取三方系統身份信息,并以該身份進行登錄。常見的釘釘登錄、微信登錄等均采用授權碼模式。?
OAuth設備模式/設備流
Device Flow,用于特定硬件設備中,在設備/終端不支持展示IDaaS登錄頁面時,允許用戶在PC/手機瀏覽器中訪問IDaaS登錄頁,完成登錄后,身份將傳遞到設備/終端,完成登錄。?
登錄
密碼復雜度
企業下屬賬戶的密碼必須達到的復雜度要求。?
懶加載
Lazy Loading、Just-in-time Provisioning,當用戶登錄時,若IDaaS中未找到身份信息,自動轉發向企業原有身份體系發起認證請求,當認證通過,該賬戶信息在IDaaS中保存。通常用于密碼在原有系統中無法導入 IDaaS,只能使用懶加載逐步導入的場景。
二次認證(MFA/2FA)
Multi-Factor Authentication多因素認證、Two-Factor Authentication雙因素/二次認證,指在登錄時需要提供多種身份認證因子,交叉確認訪問者身份。由于密碼天然的安全弱點,通常用于加強賬號+密碼登錄方式。IDaaS中支持對賬密認證開啟短信、郵件或動態令牌(OTP)二次認證。?
OTP
One Time Password動態口令,一次有效的驗證碼機制。最常用的OTP為TOTP(Time-based One-Time Password),通常30s一變,服務端和客戶端(APP)需提前對齊種子、提前校對時間。在同一時間窗口內,客戶端(APP)計算的動態口令(OTP)應與服務端一致,從而通過認證。?
應用門戶
IDaaS提供的企業訪問門戶頁,可在此頁面發起到所有應用的單點登錄。可收費進行定制。
??