简介
端隐统一身份认证系统主要分为概览、用户管理、身份认证、设备管理、应用管理、访问控制、日志、设置八大模块。您可以按照下列步骤完成初次配置。
注册管理员账号
首次进入需要输入姓名、邮箱和密码注册管理员账号,完成后正常访问安全控制中心。
概览
概览页面提供系统内关键数据的统计和数据可视化,让管理员对系统运行数据快速了解。可查看用户状态监控、登录认证与服务访问两类数据。
用户概览
1. 当前在线用户数:当前系统中在线的用户数量;
2. 已激活用户数:系统中已激活的用户数量;
3. 总用户数:系统中已激活用户数+已停用用户数。
异常用户状态
1. 超30天未登录:最近30天未登录过系统的已激活用户数量;
2. 未验证手机号:手机号还未完成过验证的已激活用户数量;
3. 未绑定身份验证器:还未绑定身份验证器的已激活用户数量。
用户可信值
1. 极高:用户可信分数≥85;
2. 中等:用户可信分数60≤n<85;
3. 低:用户可信分数<60。
可信分数排名
显示用户可信分数最高或最低的五位用户,点击跳转至所选用户详情。
用户登录地图
1. 登录国家不超过5个显示分布地图:中间区域默认展示登录次数最多的国家,周围显示其余存在登录的国家;
2. 登录国家超过5个分布世界地图:显示世界地图,按国家区域划分,统计全国成功登录的次数;
3. 数据视图:点击地图右侧【数据视图】可列表显示登录的地区和次数。
用户异地登录
按照时间倒序展示异地成功登录事件。单条数据包括姓名、登录时间、IP、地区。
非常用设备登录
按照时间倒序展示非常用设备登录事件。单条数据包括姓名、登录时间、设备名称、IP。
服务访问次数TOP5
列表展示一段时间内,成功访问次数最多的5个服务的名称和访问次数。
创建用户
创建新用户
前往用户管理>用户列表,点击【创建用户】,输入姓名、邮箱、手机号,选择所属组织,点击【提交】。
快速创建
前往用户管理>用户列表>导入>快速创建,可同时创建多个用户,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。
文件导入用户
前往用户管理>用户列表>导入>文件导入,下载模版——填写信息——选择组织——上传文件,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。
身份源同步用户
配置身份源后,前往用户管理>用户列表>导入>身份源导入,点击身份源名称或【详情】展开第三方身份源,点击导入展示未同步的用户,点击【开始导入】,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。
创建组织
1. 前往用户管理>组织架构,点击【创建组织】,输入组织名称和父级组织,点击【提交】。
2. 点击【加入用户】,为新建的组织添加成员。
3. 点击【关联服务】,该组织所有用户将有权限访问所选服务。
4. 点击【关联策略】,所选登录策略将作用于该组织所有用户。
创建用户组
1. 前往用户管理>用户组,点击【创建用户组】,输入用户组和用户组描述,点击【提交】。
2. 点击【加入用户】,为新建的用户组添加成员。
3. 点击【加入对象】,可选择用户或组织加入该用户组。
4. 点击【关联服务】,该用户组所有用户将有权限访问所选服务。
5. 点击【关联策略】,所选登录策略将作用于该用户组所有用户。
配置企业身份源
1. 前往身份认证>企业身份源,点击【新建配置】,完成基本配置,数据同步配置和属性映射,点击【提交】。
2. 前往身份认证>企业身份源,点击【详情】展开身份源卡片,点击【同步至企业微信】,企业身份源的用户数据将被更新。
3. 前往身份认证>企业身份源,选择同步记录标签页,可查看全部身份源历史同步记录;点击【详情】查看单次同步记录的详情,详情包括新建用户、新建组织、更新用户、更新组织、失败用户、失败组织。
登录认证源
前往身份认证>登录认证源,打开扫码登录客户端或控制中心的开关,用户将可以通过企业微信扫码登录。
配置短信登录
前往设置>消息服务>短信服务,按照阿里云短信配置说明找到并输入AccessKey ID、AccessKey Secrect、短信签名和短信模版CODE,点击【保存】。
添加SSO应用
前往应用管理>添加SSO应用,根据所要添加应用的实际情况选择认证协议、SDK或应用模版。
名词解释
1. 单点登录(SSO)
SSO是在多个应用系統中,用户只需要登录一次就可以访问所有相互信任的应用系統,是目前比较流行的企业业务整合的解决方案之一。
2. 身份提供商(IdP)
一个包含有关外部身份提供商元数据的实体,身份提供商可以提供身份管理服务。
3. 服务提供商(SP)
利用IdP的身份管理功能,为用户提供具体服务的应用,SP会使用IdP提供的用户信息。一些非SAML协议的身份系统,也把服务提供商称作IdP的信赖方。
4. 安全断言标记语言2.0 (SAML 2.0)
安全断言标记语言2.0 作为 SAML 的最新标准, 用来在安全域中交换身份验证数据和授权数据。它使用包含断言的安全令牌在SAML授权方和SAML消费方之间传递委托人的信息。SAML 2.0 可以实现基于网络跨域的单点登录,以便于减少向一个用户分发多个身份验证令牌的管理开销。
操作步骤
1. SAML2.0:点击SAML2.0中的【添加应用】进入页面,根据教程完成配置,配置步骤为创建应用、配置端隐身份提供商信息、提供服务提供商信息;
2. OIDC:点击OIDC中的【添加应用】进入页面,根据教程完成配置,配置步骤为创建应用、配置端隐身份提供商信息、提供服务提供商信息;
3. SDK:点击SDK中的【添加应用】进入页面,根据教程完成配置,配置步骤为创建应用、选择开发语言(支持golang和php)、接入SDK;
4. 预设应用模板:择应用模板点击进入页面,根据教程完成配置。
添加快捷访问
前往应用管理>添加快捷访问,点击【添加应用】,选择Web应用或客户端应用。
添加密码管理
前往应用管理>密码管理,点击添加应用,输入服务名称、服务URL、账号、密码、验证码密钥和描述,选择权限分发方式(账号密码或免密共享)。
新建登录规则和服务访问规则
1. 前往访问控制>登录策略,点击【创建策略】,输入策略名称,选择自动策略或条件策略,输入优先级,点击【提交】。
2. 前往访问控制>访问策略,点击【创建策略】,输入策略名称,选择服务,选择自动策略或条件策略,输入优先级,点击【提交】。