有关身份和访问管理

EnOS™身份和访问管理(IAM)可帮助您管理用户身份并控制对EnOS中资源的访问。IAM允许你管理用户帐户生命周期,验证用户身份以及控制EnOS中资源的访问权限。当组织单位中存在多个用户时,赋予用户最少权限原则可降低企业信息安全风险。

EnOS云端通过IAM实现多租户方案。在EnOS中,每个租户都作为一个组织单位进行管理。属于不同组织的数据被安全的隔离,只有在该组织中注册的用户有权访问。

IAM确保用户只访问已被授权的资源,可通过用户分组及赋予适当的访问权限来实现。

EnOS内置的IAM方案提供身份管理,身份认证和授权功能。

身份管理

IAM引入层级结构来表示组织内身份的关系。每个租户都被标识为组织单位(OU)。

EnOS的身份分为以下类型:

  • 用户账号 为使用和操作EnOS控制台的用户所创建的帐户。所有身份都是在组织下创建的。有关用户的管理方式及类型,参考组织,用户,用户组
  • 服务帐户(a.k.a.应用程序令牌)分配给应用程序,用于访问EnOS的服务API。
  • 设备标识 分配给连接到EnOS云端的所有设备(包括Edge设备)。

在各种用户身份类型中,EnOS根据自身情况设定了的几种用户账号类型。具体情况,参考

身份认证

IAM为不同的身份类型提供了不同的身份验证方法。

  • 用户帐号:通过有效凭据(用户名和密码)进行身份验证。
  • 服务帐号:通过EnOS验证的访问密钥(即数字签名)进行认证。服务账号通过注册或购买应用获得,更多信息,参考管理应用
  • 设备标识:设备和edge使用X.509认证与EnOS云端建立安全的数据通信隧道。更多信息,参考使用X.509证书最佳实践

授权

EnOS采用了基于角色的访问控制(RBAC),这是一种中立的访问控制机制,主要围绕角色和权限授权策略。访问控制规则以三要素角色-权限-资源的形式定义。该资源包括以下内容:

  • 应用:可以访问的应用
  • 用户界面:可以看到的菜单项或按钮
  • API:可以调用的API
  • 数据:可以读写的数据
  • 报告:可以查看的报告
  • 事件:可以查看或处理的应用中的事件

IAM允许组织管理员定义访问控制规则,通过EnOS控制台或API将资源的权限授予其他帐户。被授予适当权限的帐户可以通过EnOS服务API或EnOS控制台访问相应的资源。IAM服务会对每次访问尝试都执行访问控制验证。授权以赋予访问策略的方式实现,更多信息,参考策略,角色,与权限

主要功能

EnOS的身份管理涉及以下方面:

  • 账户生命周期管理
    • 组织管理员可以创建,编辑和删除本组织中创建的帐户。
    • 组织管理员可以从在本组织中添加和删除外部用户。
    • 组织管理员可以添加和删除通过LDAP导入的用户,并可以通过删除LDAP连接删除所有LDAP帐户。
  • 授权
    • 通过将内部,外部和LDAP用户添加到适当的用户组,可以为其分配访问权限。
    • 可以为内部,外部和LDAP用户分配单独的访问权限。