什么是XAuth
XAuth 身份云是一个多租户的身份云,以下文档将帮助您快速的了解XAuth的架构和功能,根据不同的场景如何进行相应的配置。
功能分类
基于云的、多组户的身份管理成为未来企业的基础设施之一,XAuth 的Cloud Identify OS 可以被看作是提供这不同环境中的设备、应用身份和权限管理的集合。它提供以下功能,但不限于这些能力:
- 用户管理:用于存储和维护对应用程序和系统的访问的密码库,允许应用完全将身份托管与XAuth。
- 目录集成:用以在活动目录、HR、IAM或企业数据库等等基础架构中同步和管理用户的身份。
- 应用集成:提供基于标准SSO协议如OIDC、OAuth2.0、SAML的API和SDK,允许应用使用单点登录 (SSO) 的协议来简化登录的流程。
- 认证策略:应用程序的认证MFA策略控制,以保护对应用程序的访问,以及保护这些系统和其他系统的数据。
- API安全管理:API的授权策略控制,以保护对应用API的访问,以及保护这些API和其授权访问的数据。
- 设备管理:提供一个集中的设备的目录,用于管理需要访问企业资源的设备,包括企业提供供或员工的BYOD设备。
- 统一的报告:允许对一系列事件进行细粒度的洞察,以创建监督并更好地了解公司网络内外发生的事件。
因此,为了加速企业采用云身份,XAuth在提供这些能力的同时,也投入巨大的资开放更多的文档,给予用户对于XAuth更多的可见性,促使用户对于云身份有更多的理解和加速这一技术的采用。
多租户架构
为了保障用户数据的安全和独立,XAuth采用租户的方式进行隔离。
一个租户对应一个私有的独立的数据空间,租户下将拥有一整套的身份管理的所有对象:用户(User),应用(Applicaiton),用户组(Group),策略(Policy)等。
不同租户之间利用国密商用密码算法对数据加密隔离,在保持计算弹性的同时,保障租户逻辑和数据的安全隔离。
不同租户之间利用国密商用密码算法对数据加密隔离,在保持计算弹性的同时,保障租户逻辑和数据的安全隔离。
当组织的管理员在XAuth的平台上注册一个新的管理账户时,XAuth会为该组织自动创建一个租户。
租户的访问地址,XAuth为每个租户分配了 https://tenant-domain.xauth.cloud 的独立访问地址。
数据模型
以下将会从顶层视角阐述每个租户的数据模型
用户
组织的用户在租户中被建模为 Users,用户的唯一性由其系统产生的用户ID决定。
用户组
组织的用户会被添加到一个 Group 中,通常根据相关 Group 设置的规则来确定。可以将其视为应用于一组用户的标签。一个用户,可以添加到多个不同的组。
通过不同的模型建模,组也可以充当角色,满足通过角色授权的场景。
身份字典
为了描述用户(User) 的身份,XAuth提供了一组描述用户身份的属性的组合,称之为身份字典(Profile),包括用户的Account、fristName、lastName、Email、Phone等。
一个用户在不同的英中可以被多个身份字典所描述,不同的身份之间,通过身份字典之间的映射来进行管理。例如,将系统属性中的mobilePhone、email等属性与华为云中描述用户的手机号 phone_nubmer、邮箱属性 email进行映射
应用
包含了希望集成到XAuth的应用程序,可以对每个应用进行独立设置权限、认证策略、SSO等。
策略
策略是一组规则的集合,策略具有要执行的操作需要满足的条件。例如被应用于用户登录、多因素认证、授权等行为控制。
认证源
通过 OpenID Connect 和 SAML 等协议关联到第三方的认证服务器(如企业原有的SSO认证服务),或具有身份管理属性的IM(如钉钉、企业微信等)或自建的认证服务器(例如 Active Directory)。通过认证源的集成,可以同步用户的身份等相关信息,使用户可以通过集成的IdP进行认证,实现访问与XAuth集成过的应用资源。在XAuth中,可以通过设置认证的路由策略将不同用户路由到指定的认证源。
