全部產品
Search

搜尋本產品

    Identity as a Service:憑據管理

    文件中心

    Identity as a Service:憑據管理

    更新時間:Mar 17, 2026

    提供統一 的憑據與憑據供應商管理能力,將分散在代碼、配置或人工傳遞中的憑據集中加密儲存,並按最小許可權授權給指定應用或使用者。應用在運行時通過介面/SDK 安全擷取並使用,無需在本地明文落盤或寫入程式碼,從而降低泄露風險、提升憑據管理與變更效率。

    概念介紹

    為什麼需要憑據管理?

    在數字化身份架構中,身份(Identity) 是“你是誰”,而 憑據(Credential) 則是證明“你是誰”的數字化證據。

    隨著微服務架構、API 經濟以及零信任安全模型的普及,系統間的互動不再局限於“使用者登入”,更多的是一種“機器對機器”或“服務對服務”的信任傳遞。IDaaS(身份即服務)作為信任的中心,其核心職能之一便是對這些憑據進行全生命週期的統一管理。

    什麼是憑據?

    在 IDaaS 語境下,憑據是指用於驗證主體(使用者、裝置、應用服務)身份的一組資料或密鑰。

    您可以將憑據類比為現實生活中的證件:

    • 長期憑據類似於身份證或家門鑰匙:長期有效,由使用者自行保管,丟失後需要掛失補辦(輪換)。

    • 短期憑據類似於酒店房卡或演唱會門票:短期有效,由系統頒發,到期自動失效,且通常包含特定的許可權範圍。

    不同憑據類型的對比如下:

    特性

    長期憑據

    短期憑據

    典型代表

    API Key, AK/SK

    JWT, OAuth Token

    有效期間

    長期,需手動輪換

    短期,自動到期

    管理方式

    管理密鑰本身 (建立、查看、撤銷)

    管理頒發規則 (演算法、有效期間、簽發者)

    擷取方式

    人工從密鑰頒發方擷取後儲存到用戶端

    用戶端通過 JWT 或 OAuth2 等協議自動從憑據提供方擷取憑據

    安全性

    依賴保密性,泄露風險高

    依賴簽名與時效,泄露風險可控

    IDaaS 中的憑據分類

    為了適應不同的安全情境,IDaaS 將憑據劃分為憑據供應商憑據兩類配置介面。理解它們的差異是正確配置的前提。

    訪問憑據管理配置介面

    1. 登入應用身份管理主控台

    2. 單擊EIAM 云身份服务菜單。

    3. 定位目標 EIAM 執行個體,單擊操作列下的访问控制台

    4. 單擊導覽列资产管理 > 凭据

    憑據供應商管理

    建立憑據供應商

    1. 訪問憑據管理配置介面

    2. 選擇凭据提供商頁簽。

    3. 滑鼠移動到创建凭据提供商上,選擇 OAuthJWT

    4. 完成對應配置項。

      OAuth配置項

      • 凭据提供商名称:僅用於控制台顯示,不參與實際認證過程。

      • 描述:描述資訊,不參與實際認證過程。

      • 凭据供应商标识:憑據供應商的唯一標識。

      • Client ID:OAuth 憑據供應商分配的用戶端標識符,IDaaS 向 OAuth 發起請求時的標識資訊

      • Client Secret:與 Client ID 配合使用的用戶端密鑰,由 OAuth 憑據供應商產生,IDaaS 向 OAuth 發起請求時的密鑰資訊

      • Token Endpoint:Token 令牌端點,用於 IDaaS 使用授權碼向 OAuth 憑據供應商換取令牌

      • Scope:用戶端應用的預設許可權,鍵入後斷行符號即可錄入,支援錄入多個。若用戶端應用發起請求時指定了 Scope,則以用戶端應用指定的 Scope 為準,若用戶端應用發起請求時未指定 Scope,則使用此處配置的 Scope。

      JWT配置項

      凭据提供商名称:僅用於控制台顯示,不參與實際認證過程。

      描述:描述資訊,不參與實際認證過程。

      凭据供应商标识:憑據供應商的唯一標識。

      生成短令牌:啟用後,在調用該憑據供應商產生令牌時,除產生標準的 JWT 格式令牌外,額外產生一個短令牌。

      Jwt token的有效期:令牌有效期間,支援以分鐘、小時和天為單位。

      Issuer白名单:如需限制 JWT 請求中自訂的 Issuer,可以配置 Issuer 白名單。配置 Issuer 白名單後,不在白名單中的 JWT 請求將被拒絕。

    查看憑據供應商

    1. 訪問憑據管理配置介面

    2. 選擇凭据提供商頁簽。

    3. 單擊目標憑據供應商操作列下的详情,即可查看憑據供應商的詳細資料。

    修改憑據供應商

    1. 訪問憑據管理配置介面

    2. 選擇凭据提供商頁簽。

    3. 單擊目標憑據供應商操作列下的编辑,即可修改已有憑據供應商。

    刪除憑據供應商

    憑據需禁用後才可刪除。

    1. 訪問憑據管理配置介面

    2. 選擇凭据提供商頁簽。

    3. 状态列下禁用目標憑據。

    4. 單擊操作下的删除,即可刪除已有憑據。

    憑據管理

    建立憑據

    在IDaaS中託管第三方應用憑據,憑據預設採用加密方式儲存。

    配置步驟如下:

    1. 訪問憑據管理配置介面

    2. 單擊凭据頁簽。

    3. 滑鼠移動到创建凭据上,選擇 API Key。

    4. 完成如下配置資訊:

      • 凭据名称:僅用於控制台顯示。

      • 描述:憑據的描述資訊。

      • 业务类型:選擇大模型三方服务,分別對應Agent 身份安全配置指導中的大模型三方服务節點。

      • API Key标识:託管的 API Key 的唯一標識。

      • API Key值:託管的 API Key。

      • 安全存储默认加密凭据,儲存在阿里雲 KMS 憑據管家中,不支援取消。

    查看憑據

    1. 訪問憑據管理配置介面

    2. 單擊凭据頁簽。

    3. 單擊目標憑據操作列下的详情按鈕,即可查看憑據的詳細資料。

    修改憑據

    1. 訪問憑據管理配置介面

    2. 單擊凭据頁簽。

    3. 單擊目標憑據操作列下的编辑,即可修改已有憑據。

      重要

      出於安全考慮,API Key值在編輯時不展示原始內容。可以選擇留空以保留現有密鑰,或輸入新值以覆蓋更新。

    刪除已有憑據

    憑據需禁用後才可刪除。

    1. 訪問憑據管理配置介面

    2. 單擊凭据頁簽。

    3. 状态列下禁用目標憑據。

    4. 單擊操作下的删除,即可刪除已有憑據。

    常見問題

    問題:訪問憑據管理配置介面時,提示缺少IDaaS EIAM服务关联角色,无法将凭据托管至KMS凭据管家,去建立。

    解決方案:根據提示點擊去创建,完成授權後即可正常建立憑據,否則建立憑據時會報錯。