【华为云】应用身份管理服务 OneAccess

OneAccess是华为云提供的应用身份管理服务，具备集中式的身份管理、认证和授权能力，保证企业用户根据权限访问受信任的云端和本地应用系统，并对异常访问行为进行有效防范

产品优势

提升用户登录体验
统一访问入口、应用单点登录，提供“一站式”访问，再无多套账号、多个URL、多个入口、多次登录的困扰

保障资源信息安全
提供多因素认证、多级权限管理；可实时记录用户行为、监测环境风险，动态调整认证策略，多维度保障信息安全

降低应用维护成本
与1000+应用预集成，快速开通，明显减少应用系统重复集成投入；该服务支持多种订购规格，按需购买，减少资源浪费

提升企业管理效率
支持用户本地身份中心和多种身份源的集成，实现组织、身份数据的一键同步；集中存储全生命周期的用户账号和数据信息，实现用户信息集中存储、用户各应用账号的集中管理

应用场景

统一身份管理

身份全生命周期管理
提供统一用户身份和凭证管理服务，集中存储全生命周期的用户账号和数据信息，同时提供标准API，快速集成身份管理能力

优势
支持本地身份中心
与用户本地身份中心（如AD）基于标准协议（如LDAP）集成，实现组织、身份数据的同步，保护存量数据资产

支持社交认证身份源

预集成个人社交认证身份源（如微信、QQ）、企业社交认证身份源（如华为WeLink），提供灵活的用户登录体验

支持身份数据同步

提供事件回调模式，支持SCIM协议，可以选择相应模式/协议，将身份数据同步到下游应用

应用单点登录

统一门户，一次登录所有授权应用
提供统一的访问入口，实现企业各个业务系统的一次登录，单点登录所有授权应用，提升用户的登录认证体验

优势
支持丰富应用的单点登录
与1000+第三方应用标准化预集成，一次登录，免密访问所有授权应用

多协议适配
支持CAS、SAML2.0、OAuth2.0、OIDC等多种协议，轻松接入多种数据源

支持集中式应用导航
“一站式”访问所有受信任的应用，无多套账号、多个URL、多个入口、多次登录的困扰

统一认证管理
对内外部认证源及各种认证方式进行统一管理和调度，如密码、OTP、二维码扫描、短信验证码等，支持按照系统安全级别为应用系统配置不同的智能认证组合

优势
多样化的认证方式
已提供静态密码、OTP、二维码、短信验证方式，将逐步提供手势验证、生物特征验证方式，保障用户的接入验证安全

移动设备协同认证
支持通过移动端App调用智能移动设备数据采集和比对能力，用户生物特征数据不上传，保护用户隐私

智能访问控制
基于事先预设好的风险管理规则，对用户访问元数据（账号、时间、地点、设备、认证方式、行为、特定风险等）进行多维度分析，通过设计风险阻断机制，实时告知管理员及用户存在的潜在风险，并可主动阻断风险，以实现智能访问控制

优势
千人千面的智能访问控制
自动分析用户接入时间、接入地点、接入设备等环境风险和访问应用的保护等级要求，对访问行为进行风险评级，自动触发预设的条件访问控制策略

条件访问控制策略自定义
支持租户自定义访问控制策略，灵活组合时间、地点、设备等环境要素，对风险行为设置拦截、二次认证等多种应对措施

功能描述

身份全生命周期管理
实现用户信息集中存储以及用户在各应用系统中账号的集中管理。结合用户管理的不同场景，如入职、调岗、返聘、离职等，提供自动化创建、权限变更、账号禁用、账号删除等功能

应用单点登录
统一访问入口，用户单点登录所有授权应用。支持按CAS、SAML2.0、OAuth2.0、OIDC标准协议集成，实现应用系统单点登录，不可改造的应用还支持通过插件代填方式集成

融合多因素认证
对内外部认证源及各种认证方式进行统一管理和调度，如短信、OTP、二维码扫描等。支持按照系统安全级别为应用系统配置不同的智能认证组合

自然人实名认证
将逐步支持多种实名机制，可按照风险等级进行认证等级配置，支持短信、身份证号等多种不同的认证渠道

多级权限管理模型
将不同系统的权限统一纳管，按照用户、岗位、群组/角色等方式进行授权。支持平台级、应用级、核心级、细粒度级等多级权限管控，提供权限分级审批等功能

智能访问控制
用户可基于访问上下文信息（访问时间/地点/设备等）和用户操作日志，使用设定的规则实时判断用户访问过程中的风险。如果发现风险可以实时调度认证方式加强校验，实现自适应的智能访问控制

集中身份审计
用户可以集中管理操作日志、访问日志等，可以通过内置报表引擎进行可视化展示

用户自助服务中心
提供用户信息维护服务，使身份库能够及时更新和维护准确的身份信息；提供用户自助修改、密码找回功能，提供用户自助注册功能，有效提高管理效率