1. 背景
1.1 什么是IDaaS
应用身份服务IDaaS(Identity as a Service)是阿里云原生身份管理系统,可以统一管理各应用中分散的账号,并集中分配应用访问控制权限,降低低效、重复的账号访问配置和运维工作。
IDaaS 旗下的EIAM(Enterprise IAM)面向政企内部身份管理,其服务对象为企业员工、实习生、合作伙伴等。
CIAM(Custromer IAM)面向外部会员进行身份管理,其服务对象为政企外部、消费者、会员、甚至市民公民等。
1.2 日志审计一键开启
IDaaS的EIAM应用身份服务已经和SLS日志审计做了深度集成,即通过日志审计可以实现在用户侧的SLS控制台存储和查询其管理操作日志以及用户行为日志。
在日志审计中,用户可以一键式开启IDaaS两种日志类型,支持用户通过采集策略过滤IDaaS实例,支持用户自定义日志保存天数,支持冷热分层存储以及日志服务基本的查询、加工、投递、告警、报表等功能。
下面将介绍一下IDaaS EIAM两种日志(管理操作+用户行为)接入SLS日志审计的最佳实践。
2. 管理操作日志
其中管理操作日志的事件对象包括:账号、组织、应用、授权、身份服务商等资源的全部操作。当用户进行这些操作会产生对应日志,用户可以在SLS日志审计中存储、查询、分析、加工、投递日志内容。
2.1 EIAM查看日志
IDaaS事件日志主要从以下四个方面阐述其日志内容:操作者,操作环境、事件、操作对象。下面是一个简单创建应用的事件日志示例。
2.2 SLS日志审计查看日志
一键开启接入日志审计之后,其日志字段和说明参见IDaaS日志字段。
下面是在日志审计中查看管理操作日志的具体示例。
3. 用户行为日志
管理操作日志相对比较容易理解,下面将从一个单点登录的例子具体介绍一下IDaaS的用户行为日志。
单点登录(Single Sign On), SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。
IDaaS SSO 服务用于解决同一公司不同业务应用之间的身份认证问题,只需要登录一次,即可访问所有添加的应用,其应用范围,除了阿里云旗下,也支持其他云服务厂商旗下的各种应用,以及相关开源应用及自研应用等。
IDaaS使用标准 SAML、OIDC 等协议对接常用应用,实现 SSO,提升安全的同时,降低成本提升用户便捷度。
下面主要通过阿里云SSO用户身份和阿里云SSO角色身份两种应用的角度来举例说明如何实现单点登录以及如何在SLS日志审计中查看其用户行为日志。
3.1 用户SSO应用登录
前提主要三个步骤:(1)IDaaS下创建阿里云SSO用户应用(2)阿里云RAM SSO基于SAML建立互信(3)IDaaS应用授权用户。然后该用户就可以在SSO中以用户身份登录SLS的控制台了。
EIAM查看日志
其登录事件如下,和管理操作日志一样也分为以下四个角度阐述:操作者,操作环境,事件,操作对象。
SLS日志审计查看日志
接入日志审计之后其日志字段和说明参见IDaaS日志字段
在SLS日志审计中的日志可以查询如下:
3.2 角色SSO应用登录
前提四个步骤:(1)阿里云RAM下SSO创建身份提供商(IdP)(2)IDaaS下创建阿里云SSO角色应用,并与IdP创建互信(3)阿里云RAM创建以IdP为授信实体的角色(4)IDaaS SSO角色应用授权用户。然后该用户就可以在SSO中以角色身份登录SLS的控制台了。
这样我们就可以在IDaaS门户,单点登录 阿里云SSO角色应用了。
EIAM查看日志
其日志内容也是基于操作者、操作环境、事件、操作对象四个维度,这里不做展开。