项目介绍
数字身份管理平台,即员工身份与访问管理系统(EIAM),是专门用于监管企业中员工的账户、权限、身份验证以及应用程序的访问。它支持将本地或云环境中的内部办公系统、业务应用以及第三方SaaS服务中的用户身份信息进行整合,实现单一账号对所有应用系统的无缝访问。
系统架构
核心特性
数字身份管理平台(EIAM)提供全面的组织信息管理,通过多维度建立对应关系,实现在一个平台上对企业人员、组织架构、应用信息的统一高效管理。
该平台支持与多种身份源集成,如钉钉、飞书、企业微信等,实现系统与企业OA平台的数据联动。以用户为管理基点,结合人事事件如入职、离职、调岗、兼职等,关联其相关应用权限的变化,确保应用访问权限的安全控制。
为了确保用户认证的安全可靠,该平台支持多因素认证,包括行为验证码、社交认证和融合认证等机制。此外,还支持与微信、微博、QQ等社交媒体的认证集成,使企业能够快速纳入互联网化认证能力。
该平台支持多种认证协议和机制,如SAML2、OAuth2、OIDC、CAS和表单代填等,实现单点登录功能。它还预配置了大量的SaaS应用和传统应用模板,方便用户开箱即用。
为了确保企业信息安全,该平台提供了完善的安全审计功能,详细记录每一次用户行为,实时记录企业信息安全状况,并精确识别企业异常访问和潜在威胁的源头。
此外,该平台还提供了标准的REST和SCIM2.0接口,方便完成机构用户同步,实现企业对账号生命周期的精细化管理。
最后,该平台是开源的,具有良好的安全性和自主可控性。
关键术语
TOPIAM 中有一些基本概念,下面是这些基本概念的说明:
管理端 :管理端(console)服务于企业管理员,用于全局管理、维护数据等及相关配置
门户端 :门户端(portal)服务于企业用户。
系统管理员 :系统管理员在 TOPIAM 中负责管理用户(组)、组织、应用、配置等管理。
普通用户 :普通用户是企业应用使用者,包含企业员工、合作伙伴、客户等。普通用户可以登录用户门户访问和操作应用。
认证源 :TOPIAM 支持用户使用第三方系统的帐号、密码等进行登录。企业可以根据需要添加并使用认证源,如微信、微博等个人社交认证,钉钉、企业微信等企业社交认证,也可以使用支持CAS、SAML2.0、OAuth2.0、OIDC协议的本地身份认证系统进行认证。
身份源 :TOPIAM 支持企业从多种系统导入用户和机构信息,实现将多个系统汇聚为一个完整的用户目录,便于在 TOPIAM 中统一管理,这些系统就称为身份源。目前 TOPIAM 支持的身份源有企业微信、钉钉、飞书。
应用 :应用是指在 TOPIAM 上进行统一管理和授权的第三方系统。包含标准协议及定制协议。
功能描述
| 功能模块 | 功能项 | 功能描述 |
|---|---|---|
| 账户管理 | 组织与用户 | 支持组织与用户维护。 |
| 用户组管理 | 支持用户组维护。 | |
| 身份源管理 | 支持通过钉钉、飞书等途径同步用户和组织信息到系统。 | |
| 认证管理 | 认证提供商 | 支持配置多种认证源,用户可通过不同方式登录门户。 |
| 应用管理 | OIDC协议应用 | 支持通过OIDC协议进行应用SSO。 |
| 表单代填应用 | 支持表单代填方式进行应用SSO。 | |
| JWT协议应用 | 支持JWT协议进行应用SSO。 | |
| 行为审计 | 用户行为 | 记录企业用户相关操作行为记录。 |
| 管理员行为 | 记录管理员相关操作记录。 | |
| 安全设置 | 通用安全 | 支持通用安全配置,及安全防御策略。 |
| 密码策略 | 支持配置用户密码全局规则策略。 | |
| 系统管理员 | 负责维护系统用户配置等。 | |
| 系统设置 | 消息设置 | 支持配置维护邮件模版、邮件服务、短信服务。 |
| IP地理库 | 支持配置IP地理库,实现精准IP定位。 | |
| 存储配置 | 支持配置云存储服务,如阿里云、腾讯云、MinIO等。 | |
| 系统监控 | 会话管理 | 支持查看系统登录会话,支持回话下线。 |
技术架构
后端 :Spring Boot 、Spring Security
前端 :React.js 、Ant Design
中间件 :MySQL 、Redis、ElasticSearch、RabbitMQ
基础设施 :Docker
安装部署
本地部署
Docker部署
K8S部署
更多方式
部分截图页面
组织与用户页面:
用户组管理页面:
身份源 管理页面:
身份提供商 页面:
应用管理 页面:
行为审计
页面:
安全设置 页面:
回话管理 页面:
项目地址:
https://gitee.com/topiam/eiam.git
