全部产品

应用身份服务：SDK概述

更新时间：Apr 08, 2026

IDaaS EIAM 针对机器身份（M2M 应用）提供了通用 OAuth、无 AK、通用凭据查询和 Agent ID 等多种业务场景。本文档介绍 IDaaS EIAM 相关 SDK，以及 SDK 在各业务场景的使用说明。

SDK 概述

SDK	功能介绍	语言支持
IDaaS Core SDK	支持 M2M 应用通过多种认证方式获取访问令牌。支持通过令牌交换获取不同受众标识或权限标识的访问令牌。	Java Python
IDaaS Akless Alibabacloud Adapter	依赖 IDaaS core SDK 完成 M2M 客户端应用身份认证，获取访问令牌。获取托管到 IDaaS 的云角色的临时访问凭据。	Java
IDaaS Core Alibabacloud Authentication Plugin	IDaaS OpenAPI 认证方式的扩展插件。目前仅支持阿里云扩展插件。	Java Python
IDaaS Pam Client	依赖 IDaaS core SDK 完成 M2M 客户端应用身份认证，获取访问令牌。获取托管到 IDaaS 的凭据。通过托管到 IDaaS 的凭据提供商获取访问令牌。	Java Python

业务场景

业务场景	具体功能描述	依赖的 SDK
通用 OAuth 场景	M2M 客户端应用通过多种方式认证身份，获取访问 M2M 服务端应用的访问令牌。认证方式支持： OIDC/OAuth 协议定义的四种标准认证方式： CLIENT_SECRET_BASIC、CLIENT_SECRET_POST、CLIENT_SECRET_JWT、PRIVATE_KEY_JWT IDaaS 自行扩展的三种联邦认证方式：PKCS7、OIDC、PCA 部署环境支持：本地开发电脑、阿里云 ECS、KUBERNETES、函数计算等。	IDaaS Core SDK
通用 OAuth 场景	函数计算等部署场景下，无法支持 PKCS#7、OIDC 等联邦凭证，IDaaS 支持 OpenAPI 认证方式，使用阿里云的身份凭证（AK/SK、STS）获取 M2M 客户端应用访问 M2M 服务端应用的访问令牌。	IDaaS Core Alibabacloud Authentication Plugin（可选）
无 AK 场景	IDaaS 支持云身份能力，该场景下，通过托管云账号关联的权限载体（例如阿里云的 RAM 角色）到 IDaaS，应用在运行时便可通过 IDaaS 获取 STS Token 并使用，安全地操作云资源。	IDaaS Core SDK IDaaS Akless Alibabacloud Adapter
凭据托管和查询场景	IDaaS 支持凭据与凭据提供商管理能力，该场景下，通过在 IDaaS 创建凭据或凭据提供商（OAuth、JWT），应用在运行时便可通过 IDaaS 安全获取凭据并使用，提升凭据管理效率以及安全性。	IDaaS Core SDK IDaaS Pam Client
Agent ID 场景	IDaaS 支持 Agent 身份安全能力，该场景下，Agent 作为客户端应用，可通过多种方式认证身份，安全获取出站凭据。	IDaaS Core SDK IDaaS Pam Client

SDK 使用说明

IDaaS Core SDK 的使用依赖于配置文件，通过配置文件指定 IDaaS 相关配置。
编程语言
文档参考
Java
环境准备
代码集成
Python
环境准备
代码集成
使用 IDaaS OpenAPI 认证方式时，需要完成阿里云 RAM 权限相关配置，具体可参考文档：阿里云 OpenAPI 认证。
Agent 身份安全场景下，Agent 作为客户端应用认证身份，获取出站访问凭证。
- 配置文件中，需要将 client_id 设置为 Agent 的 Agent ID，并配置 Agent 的认证方式。
- 若使用 IDaaS OpenAPI 认证方式，权限策略中的 Resource 字段的 ApplicationId 需要设置为 Agent 的 Agent ID。