数字身份管控平台

统一身份认证
守护每一次访问

多协议SSO单点登录(CAS/OAuth2/OIDC/SAML)、MFA多因素认证、RBAC+ABAC混合授权、实时风控引擎、SCIM身份同步,为企业构建零信任身份安全基座。

0
认证协议
0
MFA认证方式
0
授权主体类型
0
风控维度
星云IAM
0
平台可用率
0
认证响应延迟
0
SSO协议支持
0
风控评估维度
0
MFA认证方式

全方位的身份管控体系

从统一认证到精细授权,从实时风控到身份同步,为企业提供完整的身份安全解决方案。

统一认证

多协议SSO单点登录

支持CAS、OAuth2/OIDC、SAML 2.0四大协议,一次登录全系统通行,Web/移动/桌面全端覆盖。

CAS OAuth2 SAML

MFA多因素认证

TOTP动态口令、短信/邮件验证码、人脸识别、恢复码五种二次验证方式,按安全级别灵活配置。

TOTP 短信/邮件 人脸

扫码登录与社交登录

企业微信/钉钉/飞书扫码登录,微信/QQ/微博社交账号绑定,移动端统一认证入口。

扫码登录 社交账号

精细授权

RBAC+ABAC混合授权

角色权限(RBAC)管理菜单与操作,属性策略(ABAC)实现环境/资源/用户多维度条件控制,deny优先。

RBAC ABAC 混合模型

四维应用授权

统一授权表支持用户、用户组、部门、角色四种主体类型,灵活组合实现精准的应用访问控制。

用户 用户组 部门/角色

资源级权限控制

应用资源(API/菜单/按钮)细粒度授权,支持资源分组与层级管理,操作审计完整记录。

资源授权 操作审计

实时风控

实时风险评估引擎

7维度实时评估:IP黑名单、设备指纹、地理位置异常、登录频率、行为模式、账号状态、历史风险,自动响应。

7维度 自动响应

IP策略与地理位置

IP白名单/黑名单、CIDR网段支持、异常地域检测,可信IP免二次验证,风险IP强制MFA。

IP策略 地理围栏

安全事件闭环

风险事件自动告警、账号自动锁定、强制密码修改、管理员通知,事件处理全程可追溯。

自动告警 事件闭环

身份治理

SCIM身份同步

SCIM 2.0标准协议,支持全量/增量同步,多认证源(Basic/OAuth2/Bearer)对接,同步日志与异常重试。

SCIM 2.0 增量同步

多认证源集成

LDAP/AD、企业微信、钉钉、飞书等外部身份源统一纳管,社交账号绑定,认证源优先级与路由策略。

LDAP/AD 社交账号

生命周期管理

账号创建→激活→变更→停用→归档全生命周期,密码策略、会话管理、并发控制、自动过期清理。

生命周期 密码策略

扩展能力

Pipeline认证钩子

认证流程可编程扩展,支持在登录前/后、授权前/后等阶段执行自定义脚本,安全沙箱运行。

可编程 安全沙箱

Webhook事件通知

登录/登出/授权变更/风险事件等实时推送,HMAC-SHA256签名验证,支持自定义回调地址。

实时推送 签名验证

品牌定制与登录配置

登录页Logo/背景/主题色自定义,登录方式开关,品牌化部署,支持多租户独立品牌。

品牌定制 多租户

四大认证协议,覆盖全场景

无论传统Web应用还是现代微服务,无论内部系统还是跨域联邦,都能找到最佳接入方案。

CAS协议

企业内部应用首选,ST/TGT票据模型,接入最简单,支持CAS 2.0/3.0及代理模式。

CAS 2.0/3.0

OAuth2/OIDC

Web/移动应用标准方案,授权码+PKCE流程,支持JWT、刷新令牌、Token撤销,OIDC Discovery自动配置。

RFC 6749/6750/7636

SAML 2.0

企业级联邦认证,SP/IdP元数据交换,签名验证,支持单点登出(SLO),适配企业SaaS应用。

SAML 2.0

M2M机器认证

服务间通信专用,client_credentials模式,无用户参与,密钥轮换,Token自动续期。

Client Credentials

深耕身份安全场景,精准解决核心诉求

从企业内部到跨组织协同,为不同场景提供针对性身份管控方案。

企业内部

多系统反复登录·密码疲劳·权限散乱

CAS/OAuth2统一SSO,一次登录通行所有内部系统;RBAC角色授权集中管理;MFA增强关键系统安全。
SSO
一次登录
RBAC
集中授权
MFA
增强安全
SaaS集成

第三方应用接入·身份割裂·合规审计

SAML/OIDC对接SaaS应用,SCIM自动同步账号,ABAC策略控制数据访问范围,审计日志满足合规要求。
SAML
联邦认证
SCIM
自动同步
审计
合规追溯
零信任架构

边界模糊·横向移动·持续验证缺失

实时风控引擎持续评估信任等级,设备+IP+行为多维验证,ABAC动态授权,每次访问重新评估。
风控
持续评估
ABAC
动态授权
零信任
永不默认

企业级安全防护体系

从传输加密到密码策略,从签名验证到审计追溯,全方位保障身份安全。

传输与存储加密

全链路HTTPS加密,BCrypt密码哈希,ClientSecret不可逆存储,敏感数据脱敏显示。

协议安全加固

SAML签名验证+InResponseTo防重放,OAuth2 PKCE防授权码截获,state参数CSRF防护。

会话与票据安全

TGT/ST票据HttpOnly+Secure+SameSite,Token刷新队列防并发,TGT过期自动清理,单点登出全局销毁。

审计与合规

全链路认证日志,授权变更审计,风险事件追溯,异常行为检测,满足等保2.0合规要求。

为什么选择星云IAM

基于丰富的身份安全经验和技术积累,为企业提供稳定可靠的身份管控解决方案。

4协议

全协议覆盖

CAS/OAuth2/OIDC/SAML

5+

MFA认证方式

TOTP/短信/邮件/人脸/恢复码

混合

RBAC+ABAC

角色+属性双维度授权

7维

实时风控

IP/设备/地理/行为多维度

SCIM

身份同步

SCIM 2.0标准协议

私有

部署方案

完整私有化,数据自主可控

您可能想了解的

以下是客户最常咨询的问题,如需更多帮助请联系我们。

平台支持哪些认证协议?
完整支持四大认证协议:CAS(2.0/3.0,含代理模式)、OAuth2/OIDC(授权码+PKCE+刷新令牌)、SAML 2.0(SP/IdP元数据交换+签名验证+SLO)、M2M(client_credentials机器间认证)。同时支持微信小程序登录和社交账号登录。
MFA多因素认证支持哪些方式?
支持五种二次验证方式:TOTP动态口令(Google Authenticator等)、短信验证码、邮件验证码、人脸识别、一次性恢复码。可按应用安全级别(L1/L2/L3)灵活配置,MFA验证通过后TGT认证级别自动升级。
RBAC和ABAC有什么区别?平台如何结合使用?
RBAC基于角色分配权限,适合菜单/按钮等固定权限;ABAC基于属性条件动态判断,适合环境/时间/IP等动态场景。平台采用混合模型:RBAC管理基础角色权限,ABAC实现细粒度条件策略(如"仅工作日+内网IP可访问"),deny优先确保安全。
如何与现有LDAP/AD系统集成?
平台支持LDAP/AD作为外部认证源,用户使用域账号密码即可登录。同时支持SCIM 2.0协议自动同步用户和用户组数据,避免手动维护。还支持企业微信、钉钉、飞书等社交身份源集成。
是否支持私有化部署?
完全支持。可部署在企业自有服务器,身份数据完全隔离不出内网。支持Redis集群、MySQL主从、Nginx负载均衡等高可用架构,满足等保2.0合规要求。提供完整的部署文档和技术支持。
实时风控引擎如何工作?
风控引擎在每次认证时进行7维度实时评估:IP黑名单、设备指纹、地理位置异常、登录频率、行为模式、账号状态、历史风险。根据评估结果自动响应:放行、要求MFA二次验证、临时锁定账号、触发告警通知管理员。

立即构建零信任身份安全基座

申请免费试用,体验Kmbit数字身份管控平台带来的身份安全与效率提升,让每一次访问都安全可控。

免费试用
私有化部署
专属技术支持
等保2.0合规

微信咨询

扫码添加技术支持

微信二维码

电话咨询

工作日 9:00-18:00

17387178271