管理员如何对密码相关策略进行集中管理_应用身份服务 (IDaaS)(IDaaS)-阿里云帮助中心

IDaaS 允许管理员对密码相关策略进行集中管理，包含：

密码复杂度

密码是网络安全中最薄弱环节之一。越复杂的密码安全性越高。

为了便于场景选择，在【登录】菜单【密码策略】标签中，IDaaS 提供了 5 类预置复杂度模板，说明如下：

复杂度模板	模板内容
无限制	最少 4 位。
低复杂	最少 6 位，必须包含小写字母，数字。
常见	最少 8 位，必须包含大写字母、小写字母、数字。
推荐	最少 10 位，必须包含大写字母、小写字母、数字、特殊字符。不能包含账户名。
高复杂	最少 16 位，必须包含大写字母、小写字母、数字、特殊字符。不能包含账户名、显示名及其拼音、手机号或邮箱前缀。

您可选择其中一个模板，在此基础上调整配置，或直接自定义配置，保存后即可生效。

变更复杂度后，既有密码不受影响，新密码需遵守复杂度限制。

从 IdP（身份提供方）中导入账户时，通常无法获取到 IdP 中的用户密码。IDaaS 中支持对新导入的账户进行密码初始化，并通知用户完成新用户登录操作。

密码初始化功能默认关闭，管理员可以开启。

当账户从 IdP 中同步到 IDaaS 时，若无密码，则可选择“随机生成，通知用户”的方式，符合复杂度要求的随机生成的新密码将通过勾选的短信或邮件通知到用户。

同时，还可勾选【首次登录改密】，让用户在使用随机生成的密码登录时，必须修改密码，才能访问系统，完成密码的自主更新。

管理员可以设定密码过期的周期和处理策略。

管理员可通过开启过期提醒，提前 N 天在用户登录时进行改密提醒。用户看到即可在当次改密，也可以当次跳过。

IDaaS 提供了【禁止登录】、【强制修改密码】、【提醒修改密码】三个过期处理方式。

禁止登录：最严格的处理方式。过期即代表密码无法使用，无法触发改密流程。只能通过其他方式登录后改密或走找回密码流程。由于过期后用户可能锁死在外，为了减轻 IT 人员的工作负担，建议配合【过期提醒】使用，或设置提前 N 天开始强制改密。
强制修改密码：折中的处理方式。过期密码可用于登录，但登录时必须强制改密后才能访问门户或应用。
提醒修改密码：最宽松的处理方式。每次使用过期密码登录，均会进行改密提醒，但用户每次均可跳过。

密码过期只对用户登录产生影响，不会对账户本身的状态产生影响。

IDaaS 允许管理员开启密码历史检查，在用户修改密码时，将禁止用户重复使用近 N 次已使用过的密码。

用户在登录时可能忘记密码，IDaaS 提供用户自助服务完成新密码设定。

功能默认未启用。在管理员侧，通过【密码策略】【忘记密码】标签，可勾选开启忘记密码开启能力。开启后，使用密码登录的页面下方会出现【忘记密码】链接。

用户通过该链接，可通过短信或邮箱验证的方式进行身份认证。

手机号、邮箱皆为空时，账户的密码无法找回，请联系管理员重新设置。

而后即可设定符合规则的新密码。

IDaaS 维护了一套已公开泄露的密码库。在用户修改密码时，会触发对新密码的安全检查，并在页面上进行提示。这一功能默认开启，无法关闭，所以不在管理界面中可见。密码监测的提示效果如下。

若提示您输入的新密码有泄露记录，意味着该密码可能会被恶意用于进攻，我们强烈不建议您继续使用。