計畫介紹
數位身份管理平台,即員工身份與存取管理系統(EIAM),是專門用於監管企業中員工的帳戶、許可權、身份驗證以及應用程式的存取。它支持將本地或雲環境中的內部辦公系統、業務套用以及第三方SaaS服務中的使用者身份資訊進行整合,實作單一帳號對所有套用系統的無縫存取。
系統架構
核心特性
數位身份管理平台(EIAM)提供全面的組織資訊管理,透過多維度建立對應關系,實作在一個平台上對企業人員、組織架構、套用資訊的統一高效管理。
該平台支持與多種身份源整合,如釘釘、飛書、企業微信等,實作系統與企業OA平台的數據聯動。以使用者為管理基點,結合人事事件如入職、離職、調崗、兼職等,關聯其相關套用許可權的變化,確保套用存取許可權的安全控制。
為了確保使用者認證的安全可靠,該平台支持多因素認證,包括行為驗證碼、社交認證和融合認證等機制。此外,還支持與微信、微博、QQ等社交媒體的認證整合,使企業能夠快速納入互聯網化認證能力。
該平台支持多種認證協定和機制,如SAML2、OAuth2、OIDC、CAS和表單代填等,實作單點登入功能。它還預配置了大量的SaaS套用和傳統套用樣版,方便使用者開箱即用。
為了確保企業資訊保安,該平台提供了完善的安全審計功能,詳細記錄每一次使用者行為,即時記錄企業資訊保安狀況,並精確辨識企業異常存取和潛在威脅的源頭。
此外,該平台還提供了標準的REST和SCIM2.0介面,方便完成機構使用者同步,實作企業對帳號生命周期的精細化管理。
最後,該平台是開源的,具有良好的安全性和自主可控性。
關鍵術語
TOPIAM 中有一些基本概念,下面是這些基本概念的說明:
管理端 :管理端(console)服務於企業管理員,用於全域管理、維護數據等及相關配置
門戶端 :門戶端(portal)服務於企業使用者。
系統管理員 :系統管理員在 TOPIAM 中負責管理使用者(組)、組織、套用、配置等管理。
普通使用者 :普通使用者是企業套用使用者,包含企業員工、合作夥伴、客戶等。普通使用者可以登入使用者門戶存取和操作套用。
認證源 :TOPIAM 支持使用者使用第三方系統的帳號、密碼等進行登入。企業可以根據需要添加並使用認證源,如微信、微博等個人社交認證,釘釘、企業微信等企業社交認證,也可以使用支持CAS、SAML2.0、OAuth2.0、OIDC協定的本地身份認證系統進行認證。
身份源 :TOPIAM 支持企業從多種系統匯入使用者和機構資訊,實作將多個系統匯聚為一個完整的使用者目錄,便於在 TOPIAM 中統一管理,這些系統就稱為身份源。目前 TOPIAM 支持的身份源有企業微信、釘釘、飛書。
套用 :套用是指在 TOPIAM 上進行統一管理和授權的第三方系統。包含標準協定及客製協定。
功能描述
| 功能模組 | 功能項 | 功能描述 |
|---|---|---|
| 帳戶管理 | 組織與使用者 | 支持組織與使用者維護。 |
| 使用者組管理 | 支持使用者組維護。 | |
| 身份源管理 | 支持透過釘釘、飛書等途徑同步使用者和組織資訊到系統。 | |
| 認證管理 | 認證提供商 | 支持配置多種認證源,使用者可透過不同方式登入門戶。 |
| 套用管理 | OIDC協定套用 | 支持透過OIDC協定進行套用SSO。 |
| 表單代填套用 | 支持表單代填方式進行套用SSO。 | |
| JWT協定套用 | 支持JWT協定進行套用SSO。 | |
| 行為審計 | 使用者行為 | 記錄企業使用者相關操作行為記錄。 |
| 管理員行為 | 記錄管理員相關操作記錄。 | |
| 安全設定 | 通用安全 | 支持通用安全配置,及安全防禦策略。 |
| 密碼策略 | 支持配置使用者密碼全域規則策略。 | |
| 系統管理員 | 負責維護系統使用者配置等。 | |
| 系統設定 | 訊息設定 | 支持配置維護信件模版、信件服務、簡訊服務。 |
| IP地理庫 | 支持配置IP地理庫,實作精準IP定位。 | |
| 儲存配置 | 支持配置雲端儲存服務,如阿裏雲、騰訊雲、MinIO等。 | |
| 系統監控 | 會話管理 | 支持檢視系統登入會話,支持回話下線。 |
技術架構
後端 :Spring Boot 、Spring Security
前端 :React.js 、Ant Design
中介軟體 :MySQL 、Redis、ElasticSearch、RabbitMQ
基礎設施 :Docker
安裝部署
本地部署
Docker部署
K8S部署
更多方式
部份截圖頁面
組織與使用者頁面:
使用者組管理頁面:
身份源 管理頁面:
身份提供商 頁面:
套用管理 頁面:
行為審計
頁面:
安全設定 頁面:
回話管理 頁面:
計畫地址:
https://gitee.com/topiam/eiam.git
