Link Search Menu Expand Document

什么是OneAuth

OneAuth 身份云是一个多租户的身份云,以下文档将帮助您快速的了解OneAuth的架构和功能,根据不同的场景如何进行相应的配置。

  1. 功能分类
  2. 多租户架构
  3. 数据模型
    1. 用户
    2. 用户组
    3. 身份字典
    4. 应用
    5. 策略
    6. 认证源

功能分类

基于云的、多组户的身份管理成为未来企业的基础设施之一,OneAuth 的Cloud Identify OS 可以被看作是提供这不同环境中的设备、应用身份和权限管理的集合。它提供以下功能,但不限于这些能力:

  • 用户管理:用于存储和维护对应用程序和系统的访问的密码库,允许应用完全将身份托管与OneAuth。
  • 目录集成:用以在活动目录、HR、IAM或企业数据库等等基础架构中同步和管理用户的身份。
  • 应用集成:提供基于标准SSO协议如OIDC、OAuth2.0、SAML的API和SDK,允许应用使用单点登录 (SSO) 的协议来简化登录的流程。
  • 认证策略:应用程序的认证MFA策略控制,以保护对应用程序的访问,以及保护这些系统和其他系统的数据。
  • API安全管理:API的授权策略控制,以保护对应用API的访问,以及保护这些API和其授权访问的数据。
  • 设备管理:提供一个集中的设备的目录,用于管理需要访问企业资源的设备,包括企业提供供或员工的BYOD设备。
  • 统一的报告:允许对一系列事件进行细粒度的洞察,以创建监督并更好地了解公司网络内外发生的事件。

因此,为了加速企业采用云身份,OneAuth在提供这些能力的同时,也投入巨大的资开放更多的文档,给予用户对于OneAuth更多的可见性,促使用户对于云身份有更多的理解和加速这一技术的采用。

多租户架构

为了保障用户数据的安全和独立,OneAuth采用租户的方式进行隔离。

一个租户对应一个私有的独立的数据空间,租户下将拥有一整套的身份管理的所有对象:用户(User),应用(Applicaiton),用户组(Group),策略(Policy)等。

不同租户之间利用国密商用密码算法对数据加密隔离,在保持计算弹性的同时,保障租户逻辑和数据的安全隔离。

不同租户之间利用国密商用密码算法对数据加密隔离,在保持计算弹性的同时,保障租户逻辑和数据的安全隔离。

multi_tenant

当组织的管理员在OneAuth的平台上注册一个新的管理账户时,OneAuth会为该组织自动创建一个租户。

租户的访问地址,OneAuth为每个租户分配了 https://tenant-domain.oneauth.cn 的独立访问地址。

reg

数据模型

以下将会从顶层视角阐述每个租户的数据模型

image

用户

组织的用户在租户中被建模为 Users,用户的唯一性由其系统产生的用户ID决定。

用户组

组织的用户会被添加到一个 Group 中,通常根据相关 Group 设置的规则来确定。可以将其视为应用于一组用户的标签。一个用户,可以添加到多个不同的组。

通过不同的模型建模,组也可以充当角色,满足通过角色授权的场景。

身份字典

为了描述用户(User) 的身份,OneAuth提供了一组描述用户身份的属性的组合,称之为身份字典(Profile),包括用户的Account、fristName、lastName、Email、Phone等。

一个用户在不同的英中可以被多个身份字典所描述,不同的身份之间,通过身份字典之间的映射来进行管理。例如,将系统属性中的mobilePhone、email等属性与华为云中描述用户的手机号 phone_nubmer、邮箱属性 email进行映射

img

应用

包含了希望集成到OneAuth的应用程序,可以对每个应用进行独立设置权限、认证策略、SSO等。

img

策略

策略是一组规则的集合,策略具有要执行的操作需要满足的条件。例如被应用于用户登录、多因素认证、授权等行为控制。

img

认证源

通过 OpenID Connect 和 SAML 等协议关联到第三方的认证服务器(如企业原有的SSO认证服务),或具有身份管理属性的IM(如钉钉、企业微信等)或自建的认证服务器(例如 Active Directory)。通过认证源的集成,可以同步用户的身份等相关信息,使用户可以通过集成的IdP进行认证,实现访问与OneAuth集成过的应用资源。在OneAuth中,可以通过设置认证的路由策略将不同用户路由到指定的认证源。

img