飞网IAM的功能清单
团队
| 功能 | 说明 |
|---|---|
| 团队管理 | 管理飞网IAM中的团队信息。飞网IAM中的各个团队是相互独立的,每个团队拥有各自的业务系统、系统权限和用户等,从而确保了各团队的独立运作,并提高了管理的灵活性。 |
业务系统
| 功能 | 说明 |
|---|---|
| 业务系统管理 | 飞网IAM支持创建和管理多种类型的业务系统。包括:标准的业务系统:基于用户代理的业务系统、机器对机器(M2M)业务系统、Web业务系统、移动设备、WS-Federation、SAML、设备(物联网业务系统);符合FAPI2.0的业务系统:高度安全的Web业务系统、授权管理、外部设备认证;其他类型的业务系统:凭证发行者(用于生成可信凭证)。 |
| 业务系统基本设置 | 配置业务系统的基本信息,包括业务系统ID、描述和访问令牌类型(JWT令牌、引用令牌)。 |
| 业务系统访问设置 | 配置业务系统登录成功后的重定向地址、退出后的重定向地址,并支持手动操作注销会话。如果勾选手动注销会话选项,当业务系统退出时会跳转至飞网IAM,用户需要手动点击结束会话,业务系统才会退出。 |
| 业务系统功能配置 | 配置业务系统用于获取访问令牌和授权的过程,如授权码、业务系统发起的后端通道认证(CIBA)、用户管理访问(UMA)、刷新令牌、业务系统凭证(Client credentials)、令牌交换(Token exchange)等。 |
| 业务系统登录设置 | 配置业务系统默认使用的认证方法,飞网IAM支持多种身份认证方式(控制台、邮箱、一次一密、密码、短信、Web认证),并允许自定义组合使用。同时支持用户手动授权,即当用户第一次登录业务系统时,会询问用户是否同意将信息授权给业务系统,只有用户同意之后才可以成功登录业务系统。 |
| 业务系统退出设置 | 配置是否使用前端或后端通道的注销会话方式登出业务系统。 |
| 业务系统凭证管理 | 业务系统可以配置多种身份认证方式,包括业务系统密钥(post、basic)、签名的JWT、使用业务系统密钥签名的JWT、自签名X.509证书和由信任的证书颁发机构签发的X.509证书。 |
| 业务系统密钥管理 | 管理当业务系统凭证使用"签名的JWT"或"使用业务系统密钥签名的JWT"的认证方法时的签名密钥和加密密钥。 |
| 系统权限(Scope)管理 | 管理业务系统访问资源的授权信息。授权信息包括对API资源(Audience)和用户身份资源(如姓名、手机等)的访问授权。通过配置系统权限(Scope),可以控制业务系统能够访问的具体资源和用户数据。 |
| 业务系统角色管理 | 业务系统内可以创建角色供群组。一个业务系统角色可以属于多个群组。 |
| 业务系统高级设置 | 配置访问令牌签名算法、授权响应签名算法、授权数据类型、响应类型、令牌有效时间和DPoP设置。 |
用户
| 功能 | 说明 |
|---|---|
| 基础设置 | 飞网IAM支持创建和管理用户,并配置它的基本信息,包括邮箱、姓名等。 |
| 群组管理 | 管理用户群组,同一用户可以属于多个群组,并继承群组中的业务系统角色。 |
| 用户凭证管理 | 管理用户的登录凭证,支持密码和一次性密码(OTP)。 |
| 授权管理 | 查看和管理用户对业务系统的授权,包括撤销业务系统授权以确保数据安全。 |
| 会话管理 | 显示用户当前的会话信息,包括到期时间和状态,并支持手动结束会话。 |
| 用户属性管理 | 管理用户的属性(Claim)内容,与系统权限(Scope)中的身份资源相关联,可以将用户属性添加到访问令牌中。 |
| 第三方登录管理 | 显示用户关联的外部账户信息,同时支持手动取消关联。关联后,用户可以通过与之关联的第三方登录方式快速登录。 |
| 多元身份来源 | 支持多种注册方法,包括密码、电子邮箱、短信和Web认证,用户可以根据实际需求自由创建注册流程,可以选择一个或多个注册方法组成一个完整的注册流程。此外,飞网IAM还能通过LDAP和SCIM协议从相应服务器中提取用户和群组信息,同时支持第三方登录(例如阿里云、码云),以便用户可以快速登录。 |
安全与认证
| 功能 | 说明 |
|---|---|
| 身份认证流程管理 | 管理业务系统使用的身份认证流程。飞网IAM支持多种身份认证方式((控制台、邮箱、一次一密、密码、短信、Web认证)),并允许用户自定义组合使用,实现多因素身份认证。身份认证流程中还可以为认证流程指定用户的注册流程,将注册流程与认证流程绑定。即当业务系统使用身份认证流程时,飞网IAM登录页面中的注册将使用该身份认证流程绑定的注册流程。 |
| 认证方法配置 | 配置邮箱、短信、Web认证等服务的信息,以便飞网IAM能够发送验证邮件、短信验证码和其他通知。通过配置发件地址、密码、域名和模板等信息,可以确保这些通知按预期发送和显示,提升用户体验。 |
| 第三方登录 | 飞网IAM支持使用其他第三方扩展登录对用户进行身份认证,包括:阿里云登录、码云(Gitee)登录、Negotiate(待定)。同时用户可以通过配置映射规则来定义第三方登录过程中的数据映射。 |
| 账户锁定 | 管理和配置账户可以连续登录失败的最大次数和锁定时间。当登录失败超过配置次数后,账户将被锁定。 |
| 证书颁发机构管理 | 用于管理身份认证流程过程中使用的数字证书,支持生成、导入和下载根证书和子证书。 |
| 权限控制 | 支持在飞网IAM中集中配置访问控制策略,访问业务系统时需要先调用飞网IAM的权限接口,根据权限判断结果决定是否给出响应。 |
安全审计
| 功能 | 说明 |
|---|---|
| 日志查看 | 查看用户、业务系统与飞网IAM交互过程中的日志信息,进行安全审计和监控。 |