更新时间:2023-09-28 GMT+08:00
应用场景
集中的身份管理,一次配置,即可安全访问多个帐号的资源
图1 集中身份管理场景
大型企业在云上一般有多个华为云帐号,当前企业员工如需访问多个帐号下的资源,需分别登录多个帐号,或在多个帐号下分别创建IAM用户来登录,维护成本高,操作效率低。通过IAM身份中心可以:
- 集中创建和管理用户:
- 允许管理员集中创建Identity Center用户,分配登录密码,并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个帐号下的资源,无需多次登录。
- 连接到基于SAML 2.0协议的微软AD和Okta身份提供商系统:
- 允许管理员将IAM身份中心使用的SAML 2.0协议连接到微软AD和Okta身份提供商系统。
- 支持通过SCIM协议自动化用户预置过程。管理员可以在微软AD和Okta中管理用户,用户信息会自动同步到IAM身份中心,无需人工干预。
- 用户使用已有微软AD和Okta现有密码登录用户门户,来访问帐号下的资源,无需管理员重新分配密码。
- 多因素认证:
- 允许管理员对用户强制实施MFA,降低密码泄露的风险。
- MFA设备支持基于TOTP协议的APP。
支持细粒度授权,让用户集中、安全以及高效地分配每个帐号资源的访问权限
图2 细粒度授权场景
大型企业在云上一般有多个华为云帐号,各个帐号承载业务不同,登录的企业员工的职责也不同。需要针对不同帐号配置不同员工的细粒度访问权限,确保企业的资源访问安全合规。
- 集中管理用户对多个帐号资源的访问权限
- 允许管理员使用不超过20个IAM权限策略创建权限集,以及为帐号授权。
- 每个帐号可以设置允许访问的Identity Center用户和对应的权限集。
- IAM身份中心会自动将帐号的权限信息同步到IAM,无需管理员在单个帐号中重复授权。
- 基于属性的访问控制机制:
- 允许管理员利用IAM所支持的身份属性、请求上下文属性和资源属性创建权限集。包括用户和资源的组织、标签、请求时间/源地址等全局级属性20+及其他云服务级属性。
- 允许管理员利用身份提供商定义的业务标签创建权限集。业务标签会在联邦登录过程中被自动转换为IAM的身份标签属性,用于控制访问权限。
- 管理员只需一次性为所有用户定义权限,后续更改属性即可自动授予、撤销或修改访问权限。
