背景

什么是IDaaS

應(yīng)用身份服務(wù)IDaaS(Identity as a Service)是阿里云原生身份管理系統(tǒng)，可以統(tǒng)一管理各應(yīng)用中分散的賬號，并集中分配應(yīng)用訪問控制權(quán)限，降低低效、重復(fù)的賬號訪問配置和運維工作。IDaaS 旗下的EIAM（Enterprise IAM）面向政企內(nèi)部身份管理，其服務(wù)對象為企業(yè)員工、實習(xí)生、合作伙伴等。CIAM（Custromer IAM）面向外部會員進行身份管理，其服務(wù)對象為政企外部、消費者、會員、甚至市民公民等。

日志審計一鍵開啟

IDaaS的EIAM應(yīng)用身份服務(wù)已經(jīng)和SLS日志審計做了深度集成，即通過日志審計可以實現(xiàn)在用戶側(cè)的SLS控制臺存儲和查詢其管理操作日志以及用戶行為日志。

在日志審計中，用戶可以一鍵式開啟IDaaS兩種日志類型，支持用戶通過采集策略過濾IDaaS實例，支持用戶自定義日志保存天數(shù)，支持冷熱分層存儲以及日志服務(wù)基本的查詢、加工、投遞、告警、報表等功能。

下面將介紹一下IDaaS EIAM兩種日志（管理操作+用戶行為）接入SLS日志審計的最佳實踐。

管理操作日志

其中管理操作日志的事件對象包括：賬號、組織、應(yīng)用、授權(quán)、身份服務(wù)商等資源的全部操作。當(dāng)用戶進行這些操作會產(chǎn)生對應(yīng)日志，用戶可以在SLS日志審計中存儲、查詢、分析、加工、投遞日志內(nèi)容。

EIAM查看日志

IDaaS事件日志主要從以下四個方面闡述其日志內(nèi)容：操作者，操作環(huán)境、事件、操作對象。下面是一個簡單創(chuàng)建應(yīng)用的事件日志示例。

SLS日志審計查看日志

一鍵開啟接入日志審計之后，其日志字段和說明參見IDaaS日志字段。

下面是在日志審計中查看管理操作日志的具體示例。

用戶行為日志

管理操作日志相對比較容易理解，下面將從一個單點登錄的例子具體介紹一下IDaaS的用戶行為日志。

單點登錄（Single Sign On）， SSO 是指在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次，就可以訪問所有相互信任的應(yīng)用系統(tǒng)。

IDaaS SSO 服務(wù)用于解決同一公司不同業(yè)務(wù)應(yīng)用之間的身份認證問題，只需要登錄一次，即可訪問所有添加的應(yīng)用，其應(yīng)用范圍，除了阿里云旗下，也支持其他云服務(wù)廠商旗下的各種應(yīng)用，以及相關(guān)開源應(yīng)用及自研應(yīng)用等。

IDaaS使用標準 SAML、OIDC 等協(xié)議對接常用應(yīng)用，實現(xiàn) SSO，提升安全的同時，降低成本提升用戶便捷度。

下面主要通過阿里云SSO用戶身份和阿里云SSO角色身份兩種應(yīng)用的角度來舉例說明如何實現(xiàn)單點登錄以及如何在SLS日志審計中查看其用戶行為日志。

用戶SSO應(yīng)用 登錄

前提主要三個步驟：（1）IDaaS下創(chuàng)建阿里云SSO用戶應(yīng)用（2）阿里云RAM SSO基于SAML建立互信（3）IDaaS應(yīng)用授權(quán)用戶。然后該用戶就可以在SSO中以用戶身份登錄SLS的控制臺了。

EIAM查看日志

其登錄事件如下，和管理操作日志一樣也分為以下四個角度闡述：操作者，操作環(huán)境，事件，操作對象。

SLS日志審計查看日志

接入日志審計之后其日志字段和說明參見IDaaS日志字段

在SLS日志審計中的日志可以查詢?nèi)缦拢?/p>

角色SSO應(yīng)用 登錄

前提四個步驟：（1）阿里云RAM下SSO創(chuàng)建身份提供商（IdP）（2）IDaaS下創(chuàng)建阿里云SSO角色應(yīng)用，并與IdP創(chuàng)建互信（3）阿里云RAM創(chuàng)建以IdP為授信實體的角色（4）IDaaS?SSO角色應(yīng)用授權(quán)用戶。然后該用戶就可以在SSO中以角色身份登錄SLS的控制臺了。

這樣我們就可以在IDaaS門戶，單點登錄 阿里云SSO角色應(yīng)用了。

EIAM查看日志

其日志內(nèi)容也是基于操作者、操作環(huán)境、事件、操作對象四個維度，這里不做展開。

SLS日志審計查看日志

參考文檔

IDaaS控制臺入口：https://yundun.console.aliyun.com/?p=idaas#/overview/new/cn-hangzhou

IDaaS基本概念：https://help.aliyun.com/document_detail/426090.html

SAML基本介紹：https://help.aliyun.com/document_detail/174224.html

原文鏈接

本文為阿里云原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。文章來源地址http://www.zghlxwxcb.cn/news/detail-426164.html

到了這里，關(guān)于一鍵式開啟：IDaaS 日志接入 SLS日志審計發(fā)布的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！