统一身份认证和单点登录-优选内容
单点登录(SSO)概述
SSO概述 火山引擎访问控制(IAM)支持基于SAML 2.0和OAuth2.0协议的的单点登录(SSO),以企业自有身份为身份提供商(IdP)、火山引擎为服务提供商(Service Provider,简称SP)帮您实现企业或组织自有身份与火山引擎之间的SSO,即用户在IdP系统登陆后即可通过跳转链接访问已配置互信关系的SP系统。 SSO登录方式 火山引擎支持通过企业IDP直接SSO登录到控制台的模式,也支持在火山引擎回跳到企业IDP登录后再SSO到登录的模式。在登录页,可找到企...
应用管理概述
通过飞连的应用管理模块,您可以快速实现业务系统单点登录功能。用户无需记忆各个应用的账号密码,只需要登录一次就可以访问所有相互信任的应用系统。应用管理单点登录功能还可以实现应用的统一认证、统一授权、统一审计,提升安全性和管理效率。除此之外,应用管理和应用网关结合可以实现员工无客户端且无需连接 VPN,访问受保护的本地或云端应用程序。 接入应用飞连提供了应用的多种接入方式,您可以根据企业办公所需,选择适配的方式...
单点登录的多种登录方式
火山引擎支持多种SSO登录方式: 从IDP侧直接发起登录 从IDP侧直接发起登录指在IDP侧用户认证身份并登录后,点击火山引擎应用,直接向火山引擎发送saml response并跳转到火山引擎的SSO登录页。 在页面上能够在下拉框中选择当前用户允许登录的账号,以及账号下允许登录的身份(用户、角色),点击登录即可以对应身份登录到火山引擎控制台。 从SP侧发起登录 从SP侧发起登录指通过火山引擎的企业联邦登录页面,输入账号名或账号ID后,选择账号...
基于OAuth2.0的单点登录配置
火山引擎支持使用标准的OAuth2.0协议的完成授权来实现单点登录。OAuth2.0仅支持用户SSO的方式。 基本概念 概念 说明 授权端点 由身份提供方(IDP)提供,用于获取授权的终端Https URL,用户访问时将通过此端点完成身份认证 访问令牌(Access Token) 由身份提供方(IDP)颁发的访问令牌,通过此令牌和授权范围可访问用户的信息来实现SSO。OAuth2.0协议中支持使用授权码许可类型(Authorization Code)隐式许可类型(Implicit)等方式获取。火...
统一身份认证和单点登录-相关内容
用户SSO和角色SSO的适用场景
火山引擎支持用户SSO与角色SSO两种单点登录方式,其中: 用户SSO:指完成IdP与SP双方互信配置后,当企业IdP用户登录,火山引擎通过IdP发送的SAML断言建立IdP用户与火山引擎IAM用户之间的对应关系,企业IdP用户即可通过对应的IAM用户进行火山引擎资源的访问。访问的权限范围在该IAM用户权限范围内。 角色SSO:指建立信任身份为对应IdP的角色并完成IdP与SP双方互信配置后,当企业IdP用户登录,该用户通过扮演IdP发送的SAML断言中指定的可用...
基本概念
只需要登录一次即可访问其他相互信任的应用系统。云堡垒机与其管理的资源已经完成账号授权,因此,用户只需单点登录云堡垒机,即可访问其下所有已经授权的资源。 多因子认证 多因子认证表示使用两种及两种以上互不相关的条件对用户进行身份认证的方法,通常将口令和实物(如U盾、密码器、手机短消息、指纹等)结合起来,有效提升安全性。登录云堡垒机完成密码认证后,可通过短信或邮件发送动态验证码进行二次登录验证,有效降低用户密码泄...
OAuth2.0单点登录的接口标准
OAuth登录过程中,火山引擎支持授权码模式的OAuth认证,需要通过企业身份系统的授权端点获取授权码、通过Token端点获取AccessToken、通过UserInfo端点获取用户信息。OAuth登录基本流程见:OAuth基本流程。 其中获取授权码通过URL参数返回,获取AccessToken和用户信息的接口标准分别如下所示: access_token 接口标准 请求信息 请求方式 HTTP POST 请求类型 application/x-www-form-urlencoded 请求地址 ${access_token URL} Request c...
配置 CAS 认证协议接入
为了方便企业用户的认证登录,飞连支持配置 CAS2.0 协议作为认证源,以满足企业自有认证源的接入需求。通过配置协议作为认证源,用户可以更加简便地登录各应用系统。本文将介绍如何配置 CAS2.0 认证源接入。 协议介绍CAS (Central Authentication Service) 协议是一种用于 Web 的单点登录和登出协议,它允许用户访问多个应用程序,而无需多次输入用户名和密码。用户只需要登录一次,就可以访问所有已经注册到 CAS 服务器的应用程序。CA...
配置 LDAP 账号登录飞连
轻型目录访问协议 LDAP(Lightweight Directory Access Protocol)常用于管理企业员工账号并支持单点登录。飞连内除飞连账号体系之外还支持关联企业 LDAP 账号体系,您可以将企业的 LDAP 服务器关联至飞连管理后台,使员工可以通过 LDAP 账号登录飞连。 操作步骤登录飞连管理后台。 在左侧导航栏,选择身份管理 > 账号配置。 在账号配置页面的身份认证页签右上角,单击编辑。 在账号密码登录方式区域,选择 LDAP。 单击 LDAP 页签,并...
更新日志
身份管理支持构建企业组织架构、管理员工角色,以及第三方授权登录、账号安全等配置选项。 终端管理纳管公司资产与员工 BYOD(员工自带自选设备办公,Bring Your Own Device),获知设备信息、软件列表、运行状态等关键运维指标。 基于工区、部门、AD 域等方式划分类别,通过登记、分组终端设置实现精细化资源运营。 统一认证支持接入 OAuth2、CAS 2.0、SAML、OIDC 标准协议应用,一键单点登录与登出。 飞连身份认证提升应用访问安全性...
基本概念
服务将能扮演账号身份访问云资源。 身份提供商(IdP):指客户自有的身份服务。客户可通过联邦登录能力建立起自有IdP与火山引擎IAM的信任关系,实现单点登录火山引擎控制台。 单点登录(SSO) 单点登录也称为联合身份登录。火山引擎支持基于SAML2.0的SSO,提供用户SSO与角色SSO两种SSO方式。客户可通过IAM的SSO能力实现通过企业自有IdP单点登录火山引擎控制台。 策略(Policy) 策略是对权限的一种描述,IAM提供基于身份的策略(Identity-...