*《企业远程办公安全解决方案》见附件。
IDaas(应用身份服务)是应用于企业远程办公安全解决方案中的一套集中式身份、权限、应用管理服务,帮助您整合部署在本地或云端的内部办公系统、业务系统及三方SaaS系统的所有身份,实现一个账号打通所有应用服务。
IDaaS能够满足您的以下需求
- 通过一套账号体系打通企业内部多个应用系统,实现单点登录。
- 为企业员工账户登录提供统一的认证管理。
- 为企业员工提供一个统一工作台,即企业信息系统的统一入口。
单点登录
单点登录(SSO),英文全称为 Single Sign On。 SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。
使用场景介绍
1. 单点登录到IDaaS门户
场景:企业内部有多个办公系统,员工访问IDaaS提供的门户,登录后可以看到有权限访问的应用,点击应用图标实现单点登录。
优势:只需要登录一次就可以访问所有应用。
2. 访问IDaaS登录页面,直接登录到应用
场景:使用IDaaS提供的登录页面,登录后直接访问到应用中,如登录后直接访问到Jira。
优势:不用访问IDaaS的门户,直接访问应用。
说明: 登录页面的logo,公司名称等信息可以自定义设置。
3. 访问应用提供的登录页面,IDaaS认证通过后直接访问到应用
场景:企业使用自己的登录页面,当输入IDaaS账户和密码进行登录时,通过接口向IDaaS发送验证请求,验证通过后用户登录到应用。
优势:企业可以使用自己的登录页面,展示风格和内容可以自己维护。
用户目录
UD(User Directory)用户目录,用于集中管理公司的组织机构,组及账户,管理员通过设置IDaaS中的组织单位、组及账户,实现用户的统一身份管理。一个用户,一套账户密码,对账户进行统一管理,可以在功能上替代传统的AD。
使用场景介绍
1. 应用中的组织/账户和IDaaS同步
场景: 如企业中使用OA管理用户数据,这些数据需要同步到IDaaS,以实现账户单点登录的权限控制,或者使用IDaaS统一管理用户数据。
2. LDAP中的组织/账户和IDaaS同步
场景:如企业中使用LDAP管理用户数据,这些数据需要同步到IDaaS,以实现通过LDAP账户和密码进行单点登录等需求。
3. 钉钉中的组织/账户和IDaaS同步
场景:企业使用钉钉维护用户数据,这些数据需要同步到IDaaS,以实现通过钉钉扫码/钉钉微应用进行单点登录等需求。
认证源
用户登录到IDaaS门户或者应用中,除了使用账户和密码登录方式以外,IDaaS还提供多种便捷登录方式以及二次认证功能。
1. 便捷认证方式
场景:用户可以使用钉钉扫码,微信扫码,支付宝扫码等方式进行登录。
2. 二次认证
场景:使用单一的认证方式不满足安全需求,增加双因子认证以保障安全性,如登录后还需要验证OTP,或者短信,加强对用户的身份校验。
权限系统
IDaaS支持基于角色的权限访问控制(RBAC),以及基于属性的权限访问控制(ABAC)。
1. IDaaS系统权限控制
场景:企业设置分级管理员,以区分不同人员的管理权限,如审计管理员只可以看到审计日志,不能对人员进行入职,离职等操作;北京分公司的管理员只能管理北京的员工的数据,看不到其它区域的员工数据等。
说明:IDaaS系统权限控制只在专属版支持,在标准版不支持该能力,如有需求,可以使用专属版。
2. 自建系统权限控制
场景:企业内部的OA,需要区分不同人员的管理权限,如人事专员可以访问OA,但是不能看到所有页面,只能看到添加员工的页面,并且只具有“入职员工”的权限。该场景可以使用IDaaS统一管理OA的权限,当用户登录时,向IDaaS发送请求,校验该用户的身份以及访问OA的具体的权限。
其它
IDaaS除了以上功能,还支持自定义操作,以下是几个常用操作的介绍。
自定义域名
自定义登录页logo,公司名称等信息
配置短信网关
自定义密码策略等内容
