本文档旨在阐述阿里云其他产品与 IDaaS 的应用管理能力之间合作分工。若您并未使用其他依赖于 IDaaS 的阿里云产品,则无需关注。
阿里云 IDaaS 致力于为云生态提供安全的身份服务,和诸多阿里云其他产品有不同程度的合作和对接。因此,IDaaS 服务的稳定性、应用配置的稳定性对客户而言至关重要。
因此,我们基于资源“谁创建、谁管理、谁销毁”的原则,将应用资源的生命周期管理托管到云产品来负责,应用的创建、配置、管理、删除等均需要从云产品侧发起调用,在 IDaaS 中无法对该应用进行正常管理。
例如,在应用市场中,阿里云产品将作为生态伙伴得到优先展示,并无法在 IDaaS 中主动创建,必须前往云产品控制台创建,通过用户管理功能与 IDaaS 实例完成绑定,以此在 IDaaS 中创建出对应应用来。参照下图中阿里云 RPA 应用在 IDaaS 应用市场中的展示形式。
由于云产品应用的生命周期托管给了云产品本身,涉及的 OpenAPI 接口和对应功能也都具备权限区分限制,如果是普通用户尝试对云产品应用进行无权限操作,则返回如下错误码:InvalidOperation.ResourceManagedByCloudProduct,调用方需要对此错误进行识别。
具体权限分工参照下表:
操作描述 | OpenAPI | 您的阿里云账号 | 创建托管应用的云产品 |
更新应用名称和Logo | UpdateApplicationInfo | 不可操作 | 可以操作 |
更新应用描述信息 | UpdateApplicationDescription | 可以操作 | 可以操作 |
删除应用 | DeleteApplication | 不可操作 | 可以操作 |
启用应用 | EnableApplication | 不可操作 | 可以操作 |
禁用应用 | DisableApplication | 不可操作 | 可以操作 |
启用应用SSO功能 | EnableApplicationSso | 不可操作 | 可以操作 |
设置应用SSO配置 | SetApplicationSsoConfig | 不可操作 | 可以操作 |
禁用应用SSO功能 | DisableApplicationSso | 不可操作 | 可以操作 |
设置应用账户同步范围 | SetApplicationProvisioningScope | 不可操作 | 可以操作 |
设置应用账户同步配置 | SetApplicationProvisioningConfig | 不可操作 | 可以操作 |
禁用应用账户同步功能 | DisableApplicationProvisioning | 不可操作 | 可以操作 |
启用应用账户同步功能 | EnableApplicationProvisioning | 不可操作 | 可以操作 |
禁用应用DeveloperAPI调用功能 | DisableApplicationApiInvoke | 不可操作 | 可以操作 |
启用应用DeveloperAPI调用功能 | EnableApplicationApiInvoke | 不可操作 | 可以操作 |
设置应用DeveloperAPI操作接口功能范围 | SetApplicationGrantScope | 不可操作 | 可以操作 |
创建应用ClientSecret | CreateApplicationClientSecret | 不可操作 | 可以操作 |
删除应用ClientSecret | DeleteApplicationClientSecret | 不可操作 | 可以操作 |
获取应用ClientSecret | ObtainApplicationClientSecret | 不可操作 | 可以操作 |
启用应用ClientSecret | EnableApplicationClientSecret | 不可操作 | 可以操作 |
禁用应用ClientSecret | DisableApplicationClientSecret | 不可操作 | 可以操作 |
其它与 Application 相关能力、只读能力 | 可以操作 | 可以操作 |
- 本页导读 (0)