统一身份管理

一些企业的组织结构和身份信息已通过LDAP/AD进行了统一管理，但是缺乏如何将这一身份服务的登录状态延伸到PC门户和移动门户，而另一部企业并未建立自己的目录服务。

AWS PaaS的统一身份管理（ID Management，简称IDM）能够为使用PC门户和移动门户的员工提供唯一的企业身份ID管理和验证服务，通过API形式开放给第三方应用开发者，实现统一授权和验证。

AWS SSO单点登录管理

单点登录（Single Sign On，SSO）是企业实施业务系统整合的一部分，其目的是用户一次登录门户后，可以直接访问相互信任的其他系统应用，免除用户多次登录、多次维护口令的烦恼。

与OAuth2不同，AWS的SSO是一组简单的Web API服务，能够为任何系统提供临时令牌和鉴权服务，满足企业对各种遗留旧架构系统的SSO集成。

单点登录可适用于

• 进入PC端门户，免登录访问第三方应用（需要第三方调用SSO API）
• 进入移动端门户，免登录拉起第三方应用（需要第三方调用SSO API）

OAuth2认证

AWS PaaS接受由外部第三方系统提供的OAuth2认证服务。作为OAuth2客户端，通过向第三方请求临时令牌，实现AWS PaaS门户的免登录访问。

CAS认证

AWS PaaS接受由外部第三方系统提供的CAS（中央认证服务） SSO服务，作为CAS客户端，实现AWS PaaS门户的免登录访问。

延伸阅读

• AWS SSO单点登录管理产品发行文档
• LDAP组织同步
• 组织权限导入导出产品发行文档
• 组织管理产品发行文档
• 权限管理产品发行文档
• OAuth2.0介绍
• CAS（中央认证服务）介绍