身份与授权概述


EnOS 身份与授权服务(Identity and Access Management,IAM)可帮助你管理用户身份并控制对 EnOS 中资源的访问。IAM 允许你管理用户账号生命周期,验证用户身份以及控制 EnOS 中资源的访问权限。当组织单位中存在多个用户时,赋予用户最少权限原则可降低企业信息安全风险。


EnOS 通过 IAM 实现多租户方案。在 EnOS 中,每个租户都作为一个组织单位进行管理。属于不同组织的数据被安全的隔离,只有在该组织中注册的用户有权访问。


IAM 确保用户只访问已被授权的资源,可通过用户分组及赋予适当的访问权限来实现。


EnOS 内置的 IAM 方案提供身份管理,身份认证和授权功能。

身份管理


IAM 引入层级结构来表示组织内身份的关系。每个租户都被标识为组织单位(OU)。

EnOS 的身份分为以下类型:

  • 用户账号 为使用和操作 EnOS 管理控制台的用户所创建的账号。所有身份都是在组织下创建的。有关用户的管理方式及类型,参考 组织,用户,用户组

  • 服务账号(a.k.a.应用程序令牌)分配给应用程序,用于访问 EnOS 的服务 API。

  • 设备标识 分配给连接到 EnOS 云端的所有设备(包括 Edge 设备)。

身份认证


IAM 为不同的身份类型提供了不同的身份验证方法。

  • 用户账号:通过有效凭据(用户名和密码)进行身份验证。

  • 服务账号:通过 EnOS 验证的访问密钥(即数字签名)进行认证。服务账号通过注册或购买应用获得。

  • 设备标识:设备和 edge 使用 X.509 认证与 EnOS 云端建立安全的数据通信隧道。更多信息,参考 使用X.509证书最佳实践

授权


EnOS 采用了基于角色的访问控制(RBAC),这是一种中立的访问控制机制,主要围绕角色和权限授权策略。访问控制规则以三要素角色-权限-资源的形式定义。该资源包括以下内容:

  • 应用:可以访问的应用

  • 用户界面:可以看到的菜单项或按钮

  • API:可以调用的 API

  • 数据:可以读写的数据

  • 报告:可以查看的报告

  • 事件:可以查看或处理的应用中的事件

IAM 允许 OU 管理员定义访问控制规则,通过 EnOS 管理控制台或API将资源的权限授予其他账号。被授予适当权限的账号可以通过 EnOS 服务 API 或 EnOS 管理控制台访问相应的资源。IAM 服务会对每次访问尝试都执行访问控制验证。授权以赋予访问策略的方式实现,更多信息,参考 策略,角色,与权限

主要功能


EnOS 的身份管理涉及以下方面:

  • 账号生命周期管理

    • OU 管理员可以创建,编辑和删除本组织中创建的账号。

    • OU 管理员可以从在本组织中添加和删除外部用户。

    • OU 管理员可以添加和删除通过 LDAP 导入的用户,并可以通过删除 LDAP 连接删除所有 LDAP 账号。

  • 授权

    • 通过将内部,外部和 LDAP 用户添加到适当的用户组,可以为其分配访问权限。

    • 可以为内部,外部和 LDAP 用户分配单独的访问权限。

马上开始