有关身份与授权¶
EnOS™ 身份与授权服务(Identity and Access Management,IAM)可帮助你管理用户身份并控制对 EnOS 中资源的访问。IAM 允许你管理用户帐号生命周期,验证用户身份以及控制 EnOS 中资源的访问权限。当组织单位中存在多个用户时,赋予用户最少权限原则可降低企业信息安全风险。
EnOS 云端通过 IAM 实现多租户方案。在 EnOS 中,每个租户都作为一个组织单位进行管理。属于不同组织的数据被安全的隔离,只有在该组织中注册的用户有权访问。
IAM 确保用户只访问已被授权的资源,可通过用户分组及赋予适当的访问权限来实现。
EnOS 内置的 IAM 方案提供身份管理,身份认证和授权功能。
身份管理
IAM 引入层级结构来表示组织内身份的关系。每个租户都被标识为组织单位(OU)。
EnOS 的身份分为以下类型:
- 用户帐号 为使用和操作 EnOS 管理控制台的用户所创建的帐号。所有身份都是在组织下创建的。有关用户的管理方式及类型,参考 组织,用户,用户组。
- 服务帐号(a.k.a.应用程序令牌)分配给应用程序,用于访问 EnOS 的服务 API。
- 设备标识 分配给连接到 EnOS 云端的所有设备(包括 Edge 设备)。
在各种用户身份类型中,EnOS 根据自身情况设定了的几种用户帐号类型。具体情况,参考
身份认证
IAM 为不同的身份类型提供了不同的身份验证方法。
- 用户帐号:通过有效凭据(用户名和密码)进行身份验证。
- 具有复杂性的强密码安全策略被强制执行。如何设置安全选项>>
- 并提供多因子认证作为可选的安全选项。如何启用多因子认证>>
- 服务帐号:通过 EnOS 验证的访问密钥(即数字签名)进行认证。服务帐号通过注册或购买应用获得,更多信息,参考 管理应用。
- 设备标识:设备和 edge 使用 X.509 认证与 EnOS 云端建立安全的数据通信隧道。更多信息,参考 使用X.509证书最佳实践。
授权
EnOS 采用了基于角色的访问控制(RBAC),这是一种中立的访问控制机制,主要围绕角色和权限授权策略。访问控制规则以三要素角色-权限-资源的形式定义。该资源包括以下内容:
- 应用:可以访问的应用
- 用户界面:可以看到的菜单项或按钮
- API:可以调用的 API
- 数据:可以读写的数据
- 报告:可以查看的报告
- 事件:可以查看或处理的应用中的事件
IAM 允许组织管理员定义访问控制规则,通过 EnOS 管理控制台或API将资源的权限授予其他帐号。被授予适当权限的帐号可以通过 EnOS 服务 API 或 EnOS 管理控制台访问相应的资源。IAM 服务会对每次访问尝试都执行访问控制验证。授权以赋予访问策略的方式实现,更多信息,参考 策略,角色,与权限。
主要功能
EnOS 的身份管理涉及以下方面:
- 帐号生命周期管理
- 组织管理员可以创建,编辑和删除本组织中创建的帐号。
- 组织管理员可以从在本组织中添加和删除外部用户。
- 组织管理员可以添加和删除通过 LDAP 导入的用户,并可以通过删除 LDAP 连接删除所有 LDAP 帐号。
- 授权
- 通过将内部,外部和 LDAP 用户添加到适当的用户组,可以为其分配访问权限。
- 可以为内部,外部和 LDAP 用户分配单独的访问权限。