天宫身份管理平台控制台操作手册

一、账号管理

账号管理是IDaaS的基础,进入IDaas,首先我们要为企业根据组织架构或者项目需求,去建立企业的导入员工或者客户的账号。 赛赋IDaaS提供了以下几种添加账号的方式。

  • 手工创建
  • 批量导入账号
  • AD导入账号
  • 钉钉导入账号
  • 企业微信导入账号
  • 注册审批

1.手工创建

手动创建相对比较简单,提供了所见即所得的添加方式。在用户目录/组织架构页面点击【添加用户】,添加即可。

2.批量导入账号

IDaaS提供了账号导入的模版,在【更多操作】下载模版后根据格式填写即可导入,如下图。

image-20201009152831104

3.AD导入账号

通过AD导入账号提供了企业内部管理更为常见的导入方式。 在左侧导航,用户目录/AD活动目录页面,找到【添加AD活动目录】,按照系统的提示,逐条配置。

配置AD的地址和管理员登录的用户名和密码

如果配置正确,则可以选择需要同步的OU

自动同步的功能可以选择性开启

对本地属性和AD的属性关系映射

AD信息添加配置完成后,会出现一条记录出现

点击该记录,进入用户扫描的界面,扫描到用户后,可以选择全部同步,或者部分同步。右上角的选择框会提供过滤条件,是新增还是更新的过滤。

4.钉钉导入账号

左侧导航拦,选择【钉钉同步】

基本配置中,填写从钉钉后台获取3个基本信息

  • Corp ID
  • App Key
  • App Secret

属性同步配置,主要用于建立钉钉的属性和IDaaS的属性的映射关系。所见即所得 账号匹配规则,用于判断钉钉账号和本地账号是否为统一用户,所见即所得。 配置完成后,可以选择【扫描组织架构】,测试配置是否正确与否。

配置完成后,根据需要,选择需要同步的组织架构和同步用户。

手动同步:

  • 同步组织结构:
    • 在【同步部门】tab页中,点击【扫描组织结构】读取钉钉中的企业组织结构
    • 点击【同步组织结构】将钉钉中的企业组织结构同步到IDaaS本地
  • 同步账号:
    • 在【同步用户】tab页中,点击【扫描用户】读取钉钉中的用户账号
    • 点击【同步已选】,同步指定的用户账号
    • 点击【同步全部】,同步全部已扫描到的用户账号到IDaaS本地

5.企业微信导入账号

左侧导航拦,选择【企业微信同步】,基本配置中,填写从企业微信后台获取3个基本信息

  • 企业ID
  • Agnet ID
  • Secret

属性同步配置,主要用于建立微信的属性和IDaaS的属性的映射关系。所见即所得 账号匹配规则,用于判断微信账号和本地账号是否为统一用户,所见即所得。 配置完成后,可以选择扫描组织架构,测试配置是否正确与否。

配置完成后,根据需要,选择需要同步的组织架构和同步用户。

6.注册审批

IDaaS管理员可开启注册功能,开启后用户在IDaaS认证门户注册,则提供了管理员审批功能,员工可以自助注册,管理员审批通过后注册的账号可登录使用。

二、应用管理和授权

添加应用进入左侧导航、资源管理--应用管理--添加应用进入应用添加页面

应用主要分为一下类型:

  • 支持CAS协议应用
  • 支持SAML协议应用
  • 支持Oauth协议应用
  • 常见应用:如腾讯邮箱、携程商旅等,已经预先置于添加应用的应用库中,可直接选取后配置使用
  • 无法支持以上协议和不在应用库中的应用:此类应用需要通过网关代理接入

1.CAS应用

选择cas应用

点击进入配置页面

image-20200927115810598

2.SAML协议配置

点击添加SAML应用,界面如下

image-20200927115907786

3.Oauth协议配置

点击添加Oauth2.0应用,界面如下

image-20200927115936346

4.常见应用配置

以腾讯邮箱为例,从邮箱的管理后台获取:

  • CorpID

  • CorpSecret

  • DeptMngID

    image-20200927120936837

5.网关代填或代理类应用

对于应用无法支持协议的对接,或者非标准的协议。针对此类无协议支持的应用,应用需要通过网关代理接入。 添加应用时,选择新应用。 如图,如实填写应用信息,应用发布地址请填写网关发布的完整应用地址。

image-20200927121008152

6.应用授权

在IDaaS统一身份认证平台中,对每个用户都仅展示其授权的应用。对用户应用权限的管理在 资源管理/应用管理中。 统一身份认 证平台对用户的应用权限管理有三种方式:

  • 直接对指定账号授权
    • 对指定的人授权,使其可以访问指定的应用。
  • 对部门授权;
    • 对指定的部门授权,使该部门下所有人都可访问指定的应用,并且在对部门授权后进入该部门的用户也同样有权限访问指定的应用。
  • 对安全组授权
    • 对指定的安全组授权,使该安全组内所有的用户都有权限访问指定的应用。

在【资源管理/应用管理】页面选择一个应用,点击【授权】按钮,可配置该应用的授权用户。

授权窗口如下图所示,通过tab标签切换对用户、部门及安全组的授权操作。

image-20200927122247618

用户的授权应用为以上三种授权方式的并集;

最终用户的所有授权应用当在portal门户中进行展示,用户可直接点击访问。

三、认证和安全配置

1.门户安全配置

自定义用户登录、注册、账号绑定、忘记密码的验证逻辑。

image-20200927123620016

2.用户认证策略

针对不同的用户配置不同的认证策略,给不同用户、部门配置不同的认证策略

image-20201009154204135

编辑身份认主下策略

image-20201009160333866

  • 优先级:
    • 在认证策略中如果多个策略的生效范围包含了同一个部门,则最终采取优先级数值最大的认证策略
  • 认证源:
    • 本地认证:登录统一身份认证平台时,对用户的身份认证由统一身份认证平台本地完成。
    • AD域:登录统一身份认证平台时,统一身份认证平台将用户的密码传到AD域进行认证。(即用户需要使用AD密码登录)
  • 二次认证:
    • 开启后,若用户使用账号/密码的方式登录统一身份认证平台,则平台还将要求用户进行一次额外的多因素认证,二次认证方式可配置
  • 二次认证的模式:
    • 并行,当配置了多种二次认证方式时,用户使用其中一种方式认证通过即可登录;
    • 串行,当配置了多种二次认证方式时,用户必须通过所有配置的认证方可登录。
  • 生效范围:指定当前身份认证策略生效的组织部门。

3.钉钉扫码登录配置

请参考钉钉对接操作指导

4.企业微信扫码登录配置

请参考企业微信对接操作指导

5.OTP管理

OTP有两种下发方式:

  • 用户在登录流程中自助绑定;

  • 通过邮件方式统一下发

    通过邮件下发需要进入安全管理--OTP管理--批量下发

    下发OTP的邮件的文案在【系统设置-邮箱随机码设置】中配置

重置用户OTP

若用户更换手机等原因导致OTP丢失的情况,点击【重置】按钮后将重置指定用户的OTP信息,然后可重新下发或由用户自助登录绑定。

results matching ""

    No results matching ""