全部產品
Search

搜尋本產品

    Identity as a Service:IDaaS術語表

    文件中心

    Identity as a Service:IDaaS術語表

    更新時間:Sep 07, 2024

    產品相關

    IDaaS

    Identity-as-a-Service,身份即服務,企業雲身份管理中心,阿里雲提供的雲身份服務。​

    EIAM

    Enterprise Identity Access Management,企業員工身份管理系統、傳統意義上的統一身份認證平台、IAM系統、4A平台。面向企業內部ToE員工、實習生、臨時工與ToB夥伴、供應商、門店職工的身份管理。阿里雲提供的雲身份服務。​

    CIAM

    Customer Identity Access Management,企業外部使用者身份管理系統,面向消費者、會員、公民市民等外部身份。阿里雲提供的雲身份服務。​

    國際化

    指產品使用、介面、圖片、文檔、營運、支援的多語言化。IDaaS目前支援中、英兩種語言。​

    安全認證

    安全認證。阿里雲提供的身份認證服務,提供號碼認證、IIFAA、WebAuthn、簡訊認證、OTP等一攬子無密碼登入方式,對接一套SDK即全部可用。​

    零信任

    零信任是一套新興網路架構,行業內普遍採用。零信任架構打破了原有的可信網路環境邊界,要求所有服務訪問均需要可信身份、合理授權,有效提高了整體網路架構安全性和使用便捷性,在遠程辦公、多雲架構、BYOD等現代辦公條件中應用。​

    公用雲/私人化

    公用雲IDaaS是阿里雲IDaaS提供的即開即用、靈活定價的雲端服務。管理員使用阿里雲賬戶,即可立刻開通。

    私人化IDaaS指代將IDaaS部署到您指定的環境中,無論部署在您的阿里雲VPC、AWS、還是線下機房等,均屬於私人化範疇。

    身份提供方

    IdP

    Identity Provider,身份提供方,即IDaaS。源自於SAML協議中定義,IdP為進行使用者認證、鑒權,並返回SAML Response結果資訊給SP的身份提供方,後通用化指統一身份管理平台。在當前情境中,IDaaS即是IdP。​

    SP

    Service Provider,服務提供者,即應用。源自於SAML協議中定義,SP為接收IdP返回結果的解析方,後通用化指接入IdP的應用。​

    AD活動目錄

    微軟Active Directory,微軟用於企業辦公情境中,對組織、賬戶、許可權進行管理的組件,可單獨部署。由於其極廣的適用性,很多現代應用也支援AD作為其帳號體系。由於AD普遍存在的體驗和相容性問題,通常企業會尋找其他身份方案,比如IDaaS。​

    LDAP

    Lightweight Directory Access Protocol,輕量級目錄訪問協議,最常用於和AD、OpenLDAP企業目錄進行互動,但同樣採用與Apache Directory等其他系統。​

    OpenLDAP

    廣泛使用的,基於LDAP協議的開源身份目錄。​

    ADFS

    Active Directory Federation Service,AD聯邦服務,Windows Server的一個預設組件,用於加強傳統AD在連結外部應用時不夠靈活的弊端,使用麻煩、需要維護。​

    DingTalk通訊錄

    IDaaS增強DingTalk通訊錄的能力,實現DingTalk通訊錄到其他企業帳號體系之間身份同步、身份提供等情境。

    賬戶

    組織架構

    企業以部門為單位的樹形結構。

    組織

    亦稱組織機構、Organizational Unit、OU、部門等,企業樹形組織架構中的節點,一般對應企業部門。​

    根組織節點

    每個IDaaS執行個體只有一個根節點,對應企業本身,在IDaaS中可以修改根節點名稱。​

    賬戶

    每個使用者理論上應有且只有一個IDaaS賬戶。賬戶可登入IDaaS應用門戶,接入應用SSO後,亦可以授權登入應用。​

    賬戶生命週期管理

    賬戶從建立(入職)到終止(離職)的全生命週期管理流程,包含禁用、鎖定、移動、編輯等操作。​

    組是賬戶的集合,用於統一進行許可權分配,設定同步範圍。​

    同步

    在IDaaS情境中,同步普遍指代賬戶、組織在不同系統之間的傳遞。同步可分為增量、全量,可分為即時、定時,還可按照出方向(從IDaaS同步到外部系統)、入方向(外部系統同步到IDaaS)劃分。​

    SCIM

    System for Cross-domain Identity Management,跨域身份管理系統,專用於不同系統之間賬戶、組織同步的國際通用規範,國內外有大量應用支援接收SCIM協議同步請求,以實現不同系統身份的互用性 Interoperability。

    應用

    單點登入(SSO)

    Single Sign-On。指使用者僅需一次登入,即可訪問全部應用的實現,在歷史中根據應用變化,SSO也有多種實現形態。在IDaaS的語境中,我們只把基於SAML、OIDC等標準協議的身份聯邦機制,稱為單點登入。​

    IdP發起的單點登入

    IdP-init SSO。使用者先訪問到IDaaS應用門戶,已處於登入狀態後,然後訪問應用觸發的單點登入。在此流程中,請求由IDaaS(IdP)發起。​

    SP發起的單點登入

    SP-init SSO。使用者訪問到應用,由應用判斷是否要進行登入。如果需要登入,應跳轉到IDaaS(IdP)完成認證後,回跳到應用中。在此流程中,請求由應用(SP)發起。​

    應用賬戶

    Application User,指在單點登入時,已登入IDaaS賬戶在目標應用中所扮演的身份。舉例:zhangsan(IDaaS賬戶)在“營運平台”應用中是admin(應用賬戶)。IDaaS支援多種應用賬戶與IDaaS賬戶的關聯方式。在同一個應用中,當同時可扮演多個身份時,使用者需要選擇一個身份進行訪問。​

    簽名/驗簽

    基於非對稱性密碼編譯演算法,衍生出的常見使用。舉例:IDaaS在OIDC SSO時,對簽發的id_token使用RSA-256演算法私密金鑰簽名,應用使用公開金鑰驗簽,確保令牌未經偽造、篡改。​

    加密/解密

    基於對稱或非對稱式加密演算法實現。舉例:IDaaS應用進行同步時,IDaaS支援將同步內容使用AES-256加密後傳輸。應用使用對稱金鑰,將內容解密後,才能擷取到其中內容,確保在不安全網路環境中內容私密性、準確性。​

    授權

    主體(組織、賬戶)與客體(應用或其他資源)之間的許可權分配。IDaaS中可以統一分配所有接入應用的存取權限,實現企業統一許可權管理。在IDaaS中,授權特定組織到應用後,組織內賬戶才擁有訪問應用的許可權。​

    SAML

    Security Assertion Markup Language安全性聲明標記語言,基於XML,全球使用廣泛的單點登入協議,相較OIDC而言較為複雜。IDaaS支援SAML 2.0。​

    OIDC

    OpenID Connect。OIDC協議於2014年發布,結合了OpenID認證協議和OAuth 2.0授權協議的優勢,是全球通用的現代身份聯邦協議,用於實現SSO、鑒權、委託認證等情境。​

    JWT

    Json Web Token(RFC7519) 狹義上是一種基於JSON的資訊傳輸格式。由於傳輸的內容支援簽名和加密,在中國IAM語境中,JWT又經常代表一種簡化的、部分基於OIDC隱式流的單點登入實現方式。​

    CAS

    Central Authentication Service。全球通用的單點登入協議,支援B/S網頁應用。​

    OAuth 2.0

    授權協議,雖不是為了SSO設計,但也經常用於實現SSO。由於OIDC協議基於OAuth 2.0協議實現,兩者很多支援的模式是互連的。​

    access_token/id_token/refresh_token

    access_token是授權令牌,用於調用IdP提供的介面。

    id_token是身份令牌,可通過解析id_token內容,擷取當前已登入賬戶資訊。

    refresh_token是重新整理權杖,在access_token令牌到期後,可以使用refresh_token擷取新令牌。​

    OIDC/OAuth用戶端模式/用戶端流

    Client Credentials模式,被授權方不是使用者/賬戶,而是應用服務,用於應用擷取調用對應資源/介面的許可權。IDaaS提供client_id, client_secret 給應用,應用可借其換取access_token, 調用IDaaS指定介面。​

    OAuth授權碼模式/授權碼流

    Authorization Code模式,被授權方是使用者,應用通過授權碼模式,可擷取三方系統身份資訊,並以該身份進行登入。常見的DingTalk登入、微信登入等均採用授權碼模式。​

    OAuth裝置模式/裝置流

    Device Flow,用於特定硬體裝置中,在裝置/終端不支援展示IDaaS登入頁面時,允許使用者在PC/手機瀏覽器中訪問IDaaS登入頁,完成登入後,身份將傳遞到裝置/終端,完成登入。​

    登入

    密碼複雜度

    企業下屬賬戶的密碼必須達到的複雜度要求。​

    懶載入

    Lazy Loading、Just-in-time Provisioning,當使用者登入時,若IDaaS中未找到身份資訊,自動轉寄向企業原有身份體系發起認證請求,當認證通過,該賬戶資訊在IDaaS中儲存。通常用於密碼在原有系統中無法匯入 IDaaS,只能使用懶載入逐步匯入的情境。

    二次認證(MFA/2FA)

    Multi-Factor Authentication多因素認證、Two-Factor Authentication雙因素/二次認證,指在登入時需要提供多種身份認證因子,交叉確認訪問者身份。由於密碼天然的安全弱點,通常用於加強帳號+密碼登入方式。IDaaS中支援對賬密認證開啟簡訊、郵件或動態令牌(OTP)二次認證。​

    OTP

    One Time Password動態口令,一次有效驗證碼機制。最常用的OTP為TOTP(Time-based One-Time Password),通常30s一變,服務端和用戶端(APP)需提前對齊種子、提前校對時間。在同一時間視窗內,用戶端(APP)計算的動態口令(OTP)應與服務端一致,從而通過認證。​

    應用門戶

    IDaaS提供的企業訪問門戶頁,可在此頁面發起到所有應用的單點登入。可收費進行定製。

    ​​