• 文档
• 身份与授权概述

身份与授权概述

EnOS 身份与授权服务（Identity and Access Management，IAM）可帮助你管理用户身份并控制对 EnOS 中资源的访问。IAM 允许你管理用户账号生命周期，验证用户身份以及控制 EnOS 中资源的访问权限。当组织单位中存在多个用户时，赋予用户最少权限原则可降低企业信息安全风险。

EnOS 通过 IAM 实现多租户方案。在 EnOS 中，每个租户都作为一个组织单位进行管理。属于不同组织的数据被安全的隔离，只有在该组织中注册的用户有权访问。

IAM 确保用户只访问已被授权的资源，可通过用户分组及赋予适当的访问权限来实现。

EnOS 内置的 IAM 方案提供身份管理，身份认证和授权功能。

身份管理

IAM 引入层级结构来表示组织内身份的关系。每个租户都被标识为组织单位（OU）。

EnOS 的身份分为以下类型：

• 用户账号 为使用和操作 EnOS 管理控制台的用户所创建的账号。所有身份都是在组织下创建的。有关用户的管理方式及类型，参考 组织，用户，用户组。

• 服务账号（a.k.a.应用程序令牌）分配给应用程序，用于访问 EnOS 的服务 API。

• 设备标识 分配给连接到 EnOS 云端的所有设备（包括 Edge 设备）。

身份认证

IAM 为不同的身份类型提供了不同的身份验证方法。

• 用户账号：通过有效凭据（用户名和密码）进行身份验证。

  • 具有复杂性的强密码安全策略被强制执行。如何设置安全选项>>

  • 并提供多因子认证作为可选的安全选项。如何启用多因子认证>>

• 服务账号：通过 EnOS 验证的访问密钥（即数字签名）进行认证。服务账号通过注册或购买应用获得。

• 设备标识：设备和 edge 使用 X.509 认证与 EnOS 云端建立安全的数据通信隧道。更多信息，参考 使用X.509证书最佳实践。

授权

EnOS 采用了基于角色的访问控制（RBAC），这是一种中立的访问控制机制，主要围绕角色和权限授权策略。访问控制规则以三要素角色-权限-资源的形式定义。该资源包括以下内容：

• 应用：可以访问的应用

• 用户界面：可以看到的菜单项或按钮

• API：可以调用的 API

• 数据：可以读写的数据

• 报告：可以查看的报告

• 事件：可以查看或处理的应用中的事件

IAM 允许组织管理员定义访问控制规则，通过 EnOS 管理控制台或API将资源的权限授予其他账号。被授予适当权限的账号可以通过 EnOS 服务 API 或 EnOS 管理控制台访问相应的资源。IAM 服务会对每次访问尝试都执行访问控制验证。授权以赋予访问策略的方式实现，更多信息，参考 策略，角色，与权限。

主要功能

EnOS 的身份管理涉及以下方面：

• 账号生命周期管理

  • 组织管理员可以创建，编辑和删除本组织中创建的账号。

  • 组织管理员可以从在本组织中添加和删除外部用户。

  • 组织管理员可以添加和删除通过 LDAP 导入的用户，并可以通过删除 LDAP 连接删除所有 LDAP 账号。

• 授权

  • 通过将内部，外部和 LDAP 用户添加到适当的用户组，可以为其分配访问权限。

  • 可以为内部，外部和 LDAP 用户分配单独的访问权限。

马上开始

• 在组织中添加普通用户