身份与授权概述¶
EnOS 身份与授权服务(Identity and Access Management,IAM)可帮助你管理用户身份并控制对 EnOS 中资源的访问。IAM 允许你管理用户账号生命周期,验证用户身份以及控制 EnOS 中资源的访问权限。当组织单位中存在多个用户时,赋予用户最少权限原则可降低企业信息安全风险。
EnOS 通过 IAM 实现多租户方案。在 EnOS 中,每个租户都作为一个组织单位进行管理。属于不同组织的数据被安全的隔离,只有在该组织中注册的用户有权访问。
IAM 确保用户只访问已被授权的资源,可通过用户分组及赋予适当的访问权限来实现。
EnOS 内置的 IAM 方案提供身份管理,身份认证和授权功能。
身份管理 ¶
IAM 引入层级结构来表示组织内身份的关系。每个租户都被标识为组织单位(OU)。
EnOS 的身份分为以下类型:
用户账号 为使用和操作 EnOS 管理控制台的用户所创建的账号。所有身份都是在组织下创建的。有关用户的管理方式及类型,参考 组织,用户,用户组。
服务账号(a.k.a.应用程序令牌)分配给应用程序,用于访问 EnOS 的服务 API。
设备标识 分配给连接到 EnOS 云端的所有设备(包括 Edge 设备)。
身份认证 ¶
IAM 为不同的身份类型提供了不同的身份验证方法。
用户账号:通过有效凭据(用户名和密码)进行身份验证。
具有复杂性的强密码安全策略被强制执行。如何设置安全选项>>
并提供多因子认证作为可选的安全选项。如何启用多因子认证>>
服务账号:通过 EnOS 验证的访问密钥(即数字签名)进行认证。服务账号通过注册或购买应用获得。
设备标识:设备和 edge 使用 X.509 认证与 EnOS 云端建立安全的数据通信隧道。更多信息,参考 使用X.509证书最佳实践。
主要功能 ¶
EnOS 的身份管理涉及以下方面:
账号生命周期管理
OU 管理员可以创建,编辑和删除本组织中创建的账号。
OU 管理员可以从在本组织中添加和删除外部用户。
OU 管理员可以添加和删除通过 LDAP 导入的用户,并可以通过删除 LDAP 连接删除所有 LDAP 账号。
授权
通过将内部,外部和 LDAP 用户添加到适当的用户组,可以为其分配访问权限。
可以为内部,外部和 LDAP 用户分配单独的访问权限。