本文为您介绍如何配置使IDaaS同步账户到阿里云RAM中,以实现两个平台的账户信息同步保持一致。

背景信息

在现代企业的数字化管理中,某些企业员工日常办公需要访问阿里云控制台,但应用系统之间账户并未同步,成为一个个信息孤岛,所有应用的数据同步难题,正困扰着越来越多的企业管理者。

解决方案

通过IDaaS应用身份服务的SCIM协议,将企业内部共享数据同步到阿里云RAM服务中去。

操作步骤

一、RAM账号准备

  1. 使用阿里云账号登录阿里云
  2. 进入访问控制

    登录控制台–>产品与服务–>搜索访问控制–>进入RAM访问控制

  3. 添加用户

    点击左侧 人员管理-用户 进入阿里云用户列表,创建一个的账户,如 test003 。创建成功后在用户列表中可以看到该用户

  4. 点击账户名称进入账户详情页面,点击创建AccessKeys

    将生成 AccessKeyID 和 AccessKeySecret 安全保存到本地。

  5. 给新用户设置管理RAM的权限(AliyunRAMFullAccess)

    切换到权限管理标签,点击添加权限

    在搜索框中输入 RAM,即可快速找到 AliyunRAMFullAccess 权限策略。点击该策略,选上之后点击确定保存即可。

二、IDaaS添加阿里云控制台

  1. 应用列表中选择阿里云RAM-用户SSO添加应用
  2. 添加SigningKey(证书)
  3. 配置SAML内容在SigningKey列表界面中右侧点击“选择

    进入SAML配置界面。根据提示填写个人域名, identityId和SP identityId等参数保存。下图是根据RAM账号信息内容进行的填写示例:

    • 阿里云个人域名称:例如1894063505540386.onaliyun.com,其中 1894063505540386 需要替换成阿里云账号ID
    • IDaaS IdentityId:例如 https://signin.aliyun.com/1894063505540386/saml/SSO,其中 1894063505540386 需要替换成阿里云账号ID
      说明

      阿里云账户ID 获取方式如下:

      在阿里云控制台点击右上角头像图标,在账号管理-安全设置页面获取阿里云账号ID

    • SP Entity ID:与IDaaS IdentityId保持一致
    • SP ACS URL(SSO Location):https://signin.aliyun.com/saml/SSO
    • AccessKeyID和AccessKeySecret:第一步创建的阿里云账号的AccessKeys
    • NameIdFormat:urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
    • Binding:POST
    • SP登录方式:应用自定义登录页
    • 账户关联方式:账户关联
  4. 保存应用成功,切换到应用列表,查看应用详情,将该应用的账户同步地址,安全保存在本地。
  5. 获取用户账户同步接口认证的Key和Secret

    进入应用列表 > 详情,开启API开关,复制API Key和API Secret到本地进行安全保存。

三、 在IDAAS中配置账户同步

  1. 进入应用 > 应用列表,找到新建应用,并开启该应用。
  2. 依次选择详情 > 同步
  3. 点击SCIM配置链接,进入配置页面:
    SCIM同步地址:当前IDaaS域名地址+第二部分第4步获取的账户同步地址
    注意 地址中间没有空格,如果提供的接口开头有:openapi/2020-x-x,需要把这部分内容去掉

    是否开启:开启此开关

    协议类型:选择OAuth2

    oauth url:当前IDaaS域名地址+/oauth/token

    client_id和client_secret:第二部分第5步获取的API Key和API Secret
    说明 IDaaS域名地址可以在云盾IDaaS管理控制台获取。
  4. 在IDaaS中创建一个用户
  5. 应用授权模块对新应用进行授权
  6. 账户同步进RAM

    进入账户 > 机构及组,找到刚新增的账户,选择账户同步链接

    选择同步按钮完成同步。

    点击同步记录查看同步结果:

  7. 阿里云控制台中查看同步过来的账户

    切换到阿里云控制台中:人员管理 > 用户菜单,人员列表中可查看到新同步过来的账户:

    注意:以上步骤中有需安全保存到本地的关键信息,配置完成后请示情况进行安全删除。