常见问题

本页面提供关于身份与访问管理 IAM的一些常见问题的解答

问:什么是身份与访问管理?

身份和访问管理是一个框架,用于为企业Web应用程序,API,企业用户生命周期管理和企业应用程序对外部用户/供应商的访问权限实施额外的安全层。

问:身份与访问管理的作用?

身份与访问管理可以控制基于用户或角色的企业应用程序的访问,并启用单点登录以实现与集成身份与访问管理的企业应用程序无缝地进行用户身份验证。它验证用户访问请求,并且可以授予或拒绝对整个企业范围内受保护的Web和应用程序资源的权限。

问:如何创建策略?

策略是用于描述一组权限集,然后将其引用到指定的角色上。支持可视化和JSON配置两种方式创建策略,选择一种方式设置允许或拒绝访问特定服务操作、资源和条件的权限声明。创建策略后,将策略引用到指定的角色上,表示此角色具有此策略所定义的所有权限。

问:如何为用户设置权限?

可以根据用户职能创建用户组,将具有相同职能的用户加入到此用户组中,再将角色授权给用户组,组里的用户也将继承此角色,用户就可以根据角色的权限要求去操作资源了,同时也可以直接将角色授权给用户,精细地控制其对资源的访问范围。

问:什么是AD/LDAP?

AD/LDAP是业界比较常用的用户身份统一认证方式。LDAP(Light Directory Access Portocol)是基于X.500标准的轻量级目录访问协议,类似于文件目录一样,整体呈树状结构,使用这个协议可以访问提供服务目录的产品。AD(ActiveDirectory)是一种基于数据库的系统,可在Windows环境中提供身份验证、目录、策略和其他服务。AD其实是LDAP的一种应用。

在LDAP协议中,命名模型为DN形式,每个用户都拥有自己的DN,如同文件系统中,带路径的文件名就是DN。DN可能包含很多属性,其中CN、OU、DC分别表示用户信息名称、所属组织名称、所属域名称,例如DN为“CN=users,OU=abccloud,DC=cloud,DC=com”,实际查找顺序是首先DC=com,其次DC=cloud,然后OU=abccloud,最后CN=users,其含义为:名称为users的用户处于cloud.com域中的abccloud组织中。

问:什么是RBAC模型?

RBAC模型是最为普及的权限设计模型是RBAC模型,基于角色的访问控制(Role-Based Access Control)。提供了一种根据人员工作职能分配权限的方法。IAM 通过定义具有与工作职能一致的权限的 IAM 角色。然后,可以授予用户或用户组访问权限,以代入这些角色来执行特定的工作职能。

问:什么是虚拟MFA?

虚拟 MFA(Multi-Factor Authentication)是能产生6位数字认证码的设备,遵循基于时间的一次性密码 (TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,即虚拟MFA应用程序,可以在移动硬件设备(包括智能手机)上运行,非常方便,虚拟MFA是多因素认证方式中的一种。

问:支持哪些虚拟MFA APP?

支持Totp协议的大部分APP都支持,目前推荐的有Microsoft Authenticator、Google Authenticator。

问:动态验证码获取依赖网络吗?

Totp是一种公开的算法,使用加密哈希函数将密钥与当前时间戳组合在一起以生成一次性密码,不依赖网络。

问:手机动态令牌APP可以绑定多个用户吗?

支持绑定多个用户,部分APP可能会对相同账户名进行覆盖,请注意app提示。

问:如果手机丢失、手机更换、软件卸载重装,怎么办?

需要联系技术人员进行重置虚拟MFA。

问:虚拟MFA验证码校验不通过怎么办?

情景一:验证码输入错误。
解决方案:请确保输入正确的验证码。
情景二:动态验证码未更新。
解决方案:验证码每30秒自动更新一次,请等待更新后再输入。
情景三:读取了非本帐号的虚拟MFA验证码。
解决方案:请在虚拟MFA设备中确认验证码上方的帐号与二次验证、绑定或解绑的帐号一致。
情景四:重新绑定虚拟MFA时,未在虚拟MFA设备中重新添加用户。
解决方案:重新绑定虚拟MFA时,需在虚拟MFA设备中删除原用户信息,重新添加用户并读取该用户对应动态码。
情景五:MFA验证码的生成机制和时间相关,如果手机时间和虚拟MFA设备后台服务的系统时间相差30秒以上,生成的MFA验证码将不能通过校验。
解决方案:请修正手机时间后重新验证。(注意手机时间和时区无关,后台会自动转化为世界协调时间,即UTC时间戳。)