本文檔介紹了阿里雲IDaaS(EIAM)支援的多種登入方式,包括帳號密碼、簡訊驗證碼、其他第三方應用登入(如微信、DingTalk)及多因素認證(MFA)等,協助管理員靈活配置企業級身分識別驗證策略,提升賬戶安全性。
登入方式
IDaaS系統內建三種登入方式
系統登入方式
說明
IDaaS賬戶密碼登入
預設啟用。
使用IDaaS中儲存的賬戶名和密碼登入。若沒有賬戶名或密碼(例如剛從DingTalk匯入),則無法使用。
IDaaS簡訊驗證碼登入
預設處于禁用狀態,需要開啟。
賬戶需要有手機號才能使用。
可以查看簡訊內容,但內容不能修改。
目前的版本不收取簡訊費用。
WebAuthn認證器登入
基於WebAuthn協議,安全、便捷地使用硬體身份進行登入。
更多請參考:進階:WebAuthn安全登入。
添加登入方式
IDaaS中提供的其他登入方式,均需要基於身份提供方配置進行開啟。當管理員添加身份提供方時,可能會有相關的登入能力自動添加為登入方式。
例如,綁定DingTalk時,若管理員勾選啟用DingTalk掃碼登入,則會自動建立DingTalk掃碼登入方式,可以直接使用。
若綁定時沒有啟用,在身份提供方菜單中,仍然可以隨時開啟功能。首次開啟後,仍會自動建立對應的登入方式。
身份提供方菜單中的登入相關狀態,會與登入方式菜單中保持一致。
例如當在身份提供方菜單中關閉了DingTalk掃碼登入,登入方式中對應的狀態亦會關閉。
禁用登入方式
登入方式禁用後將無法使用,且不會顯示在登入頁中。
登入配置
針對IDaaS登入進行基礎配置
參數說明如下:
是否跳過登入頁:啟用此功能後,登入方式只有一種,且是基於OIDC協議的認證方式或飛書登入方式。使用者在訪問IDaaS的登入頁時,可以直接跳轉到該登入方式介面去認證。
儲存配置時的校正規則。如果已經開啟了多種登入方式。則彈窗提示:
此時配置無法成功儲存。如果未開啟多種登入方式,則正常儲存成功。
身份提供方的衝突提示。若在跳過登入頁功能已開啟的情況下,在身份提供方菜單中或中嘗試啟用多種登入方式,系統將彈窗提示:
說明只有在以下條件同時滿足時才會跳過登入頁:僅開啟飛書或OIDC一種認證源,並且開啟了跳過登入頁功能;否則即使開啟跳過登入頁功能也會失效。
PC 優先登入方式:設定PC端IDaaS登入頁預設展示的登入方式,使用者可在登入頁手動切換至其他可用方式。
移動端優先登入方式:設定App端IDaaS登入頁預設展示的登入方式,使用者可在登入頁手動切換至其他可用方式。
登入有效期間:設定瀏覽器中登入工作階段的保持時間(樣本為8小時),逾時後使用者需重新登入以確保安全。
不活躍重登:設定使用者無操作後的會話逾時時間長度(樣本為2小時),逾時後需重新驗證身份,避免未授權訪問。