身份提供商概述
IAM支持基于SAML协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统单点登录,这一过程称之为联邦身份认证。
基本概念
|
概念 |
说明 |
|---|---|
|
身份提供商(Identity Provider,简称IdP) |
负责收集、存储用户身份信息,如用户名、密码等,在用户登录时负责认证用户的服务。在企业与联邦身份认证的过程中,身份提供商指企业自身的身份提供商,目前常用的第三方IdP有Microsoft Active Directory(AD FS)、Shibboleth。 |
|
服务提供商(Service Provider,简称SP) |
服务提供商通过与身份提供商IdP建立信任关系,使用IdP提供的用户信息,为用户提供具体的服务。在企业与联邦身份认证的过程中,服务提供商指。 |
|
联邦身份认证 |
身份提供商IdP与服务提供商SP,实现用户单点登录的过程,称之为联邦身份认证。 |
|
单点登录(Single Sign-On,简称SSO) |
用户在身份提供商IdP系统登录后,就可以通过跳转链接访问已建立互信关系的服务提供商SP系统,这一过程称之为单点登录。如:企业管理系统与建立互信关系后,企业管理系统中的用户通过提供的登录入口,使用已有的密码在企业管理系统中登录后,即可跳转访问。 |
|
SAML 2.0 |
安全断言标记语言(Secturity Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商 (IdP)使用的一种开放标准,关于SAML2.0的详细描述请参见:SAML 2.0技术概述。IAM支持使用SAML2.0协议进行联邦身份认证,因此与建立联邦身份认证的企业IdP必须支持SAML2.0协议。 |
使用联邦身份认证的优势
注意事项
- 企业IdP服务器的时间需要和的时间、时区一致,即都使用GMT时间(Greenwich Mean Time),否则会导致联邦身份认证失败。
- 由于联邦用户的身份信息(如、手机号码)保存在企业IdP中,是企业IdP映射到的虚拟用户,因此,联邦用户通过身份提供商功能访问时有以下约束:
