IDaaS同步账户到RAM配置说明手册

本文为您介绍如何配置使IDaaS同步账户到阿里云RAM中,以实现两个平台的账户信息同步保持一致。

背景信息

在现代企业的数字化管理中,某些企业员工日常办公需要访问阿里云控制台,但应用系统之间账户并未同步,成为一个个信息孤岛,所有应用的数据同步难题,正困扰着越来越多的企业管理者。

解决方案

通过IDaaS应用身份服务的SCIM协议,将企业内部共享数据同步到阿里云RAM服务中去。

操作步骤

一、RAM账号准备

  1. 添加RAM用户。具体操作步骤,请参见创建RAM用户

  2. 给RAM用户创建AccessKey,包括AccessKey ID和AccessKey Secret,并安全保存到本地。具体操作步骤,请参见创建AccessKey

  3. 给RAM用户设置管理RAM的权限(AliyunRAMFullAccess)。具体操作步骤,请参见为RAM用户授权

二、IDaaS添加阿里云控制台

  1. 应用列表中选择阿里云RAM-用户SSO添加应用

  2. 添加SigningKey(证书)

  3. 配置SAML内容在SigningKey列表界面中右侧点击“选择

    进入SAML配置界面。根据提示填写个人域名, identityId和SP identityId等参数保存。下图是根据RAM账号信息内容进行的填写示例:

    • 阿里云个人域名称:例如1894063505540386.onaliyun.com,其中 1894063505540386 需要替换成阿里云账号ID

    • IDaaS IdentityId:例如 https://signin.aliyun.com/1894063505540386/saml/SSO,其中 1894063505540386 需要替换成阿里云账号ID

      说明

      阿里云账户ID 获取方式如下:

      在阿里云控制台点击右上角头像图标,在账号管理-安全设置页面获取阿里云账号ID

    • SP Entity ID:与IDaaS IdentityId保持一致

    • SP ACS URL(SSO Location):https://signin.aliyun.com/saml/SSO

    • AccessKeyID和AccessKeySecret:第一步创建的阿里云账号的AccessKeys

    • NameIdFormat:urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    • Binding:POST

    • SP登录方式:应用自定义登录页

    • 账户关联方式:账户关联

  4. 保存应用成功,切换到应用列表,查看应用详情,将该应用的账户同步地址,安全保存在本地。

  5. 获取用户账户同步接口认证的Key和Secret

    进入应用列表 > 详情,开启API开关,复制API Key和API Secret到本地进行安全保存。

三、 在IDAAS中配置账户同步

  1. 进入应用 > 应用列表,找到新建应用,并开启该应用。

  2. 依次选择详情 > 同步

  3. 点击SCIM配置链接,进入配置页面:

    SCIM同步地址:当前IDaaS域名地址+第二部分第4步获取的账户同步地址

    注意

    地址中间没有空格,如果提供的接口开头有:openapi/2020-x-x,需要把这部分内容去掉

    是否开启:开启此开关

    协议类型:选择OAuth2

    oauth url:当前IDaaS域名地址+/oauth/token

    client_id和client_secret:第二部分第5步获取的API Key和API Secret

    说明

    IDaaS域名地址可以在云盾IDaaS管理控制台获取。

  4. 在IDaaS中创建一个用户

  5. 应用授权模块对新应用进行授权

  6. 账户同步进RAM

    进入账户 > 机构及组,找到刚新增的账户,选择账户同步链接

    选择同步按钮完成同步。

    点击同步记录查看同步结果:

  7. 阿里云控制台中查看同步过来的账户

    切换到阿里云控制台中:人员管理 > 用户菜单,人员列表中可查看到新同步过来的账户:

    注意:以上步骤中有需安全保存到本地的关键信息,配置完成后请示情况进行安全删除。

阿里云首页 应用身份服务 相关技术圈