EnOS 上的身份¶
企业租户管理人员可管理用户账号生命周期,验证用户身份以及控制 EnOS 中资源的访问权限。当组织中存在多个用户时,赋予用户最少权限原则可降低企业信息安全风险。
EnOS 通过应用门户实现多租户多组织方案。在 EnOS 中可以创建多个租户,每个租户对应一个企业,租户下可以有多个组织,每个组织对应一个 OU(Organization Unit)。属于不同组织的数据被安全地隔离,只有在该组织中注册且分配权限的用户有权访问。
EnOS 的身份类型¶
EnOS 的身份都是在 OU 下创建的,分为以下类型:
用户账号 是企业租户管理人员为使用和操作 EnOS 应用门户的用户所创建的账号。
服务账号 即应用程序令牌,OU 内的每个应用,都将带有一个服务账号,用于访问 EnOS API 获取 OU 内的资源。
设备标识 分配给连接到 EnOS 云端的所有设备(包括 Edge 设备)。
EnOS 的身份验证¶
EnOS 为不同的身份类型提供了不同的身份验证方法。
用户账号:用户需要使用有效凭据(用户名和密码)进行身份验证,通过验证后可访问 EnOS 应用门户。
OU 管理员可为 OU 设置复杂的强密码安全策略,提高用户账号的安全性。
OU 管理员还可以启用多因子认证,提高用户登录行为的可靠性。
服务账号:由应用的 Access Key 和 Secret Key 构成。服务账号通过注册或获取应用获得,将作为访问 EnOS API 的身份凭证。
设备标识:设备和 Edge 使用 X.509 认证与 EnOS 云端建立安全的数据通信隧道。更多信息,参见 使用 X.509 证书最佳实践。
EnOS 的身份授权¶
EnOS 采用了基于角色的访问控制(RBAC),这是一种中立的访问控制机制,主要围绕角色来分配以下内容:
应用:可以访问的应用
功能:可以看到的功能菜单
操作:可以执行的操作
API:可以调用的 API
资源:可以访问的数据范围
企业租户管理人员可以分配 OU 管理员,OU 管理员可通过 EnOS 应用门户的管理员控制台或 应用门户 API 将权限授予其它账号。被授予适当权限的账号可以通过 EnOS API 或 EnOS 应用门户访问相应的资源,执行对应的操作。EnOS 会对每次访问尝试都执行访问控制验证。