IDaaS同步账户到RAM配置说明手册
本文为您介绍如何配置使IDaaS同步账户到阿里云RAM中,以实现两个平台的账户信息同步保持一致。
背景信息
在现代企业的数字化管理中,某些企业员工日常办公需要访问阿里云控制台,但应用系统之间账户并未同步,成为一个个信息孤岛,所有应用的数据同步难题,正困扰着越来越多的企业管理者。
解决方案
通过IDaaS应用身份服务的SCIM协议,将企业内部共享数据同步到阿里云RAM服务中去。
操作步骤
一、RAM账号准备
添加RAM用户。具体操作步骤,请参见创建RAM用户。
给RAM用户创建AccessKey,包括AccessKey ID和AccessKey Secret,并安全保存到本地。具体操作步骤,请参见创建AccessKey。
给RAM用户设置管理RAM的权限(AliyunRAMFullAccess)。具体操作步骤,请参见为RAM用户授权。
二、IDaaS添加阿里云控制台
应用列表中选择阿里云RAM-用户SSO添加应用
添加SigningKey(证书)
配置SAML内容在SigningKey列表界面中右侧点击“选择”
进入SAML配置界面。根据提示填写个人域名, identityId和SP identityId等参数保存。下图是根据RAM账号信息内容进行的填写示例:
阿里云个人域名称:例如1894063505540386.onaliyun.com,其中 1894063505540386 需要替换成阿里云账号ID
IDaaS IdentityId:例如 https://signin.aliyun.com/1894063505540386/saml/SSO,其中 1894063505540386 需要替换成阿里云账号ID
说明阿里云账户ID 获取方式如下:
在阿里云控制台点击右上角头像图标,在账号管理-安全设置页面获取阿里云账号ID
SP Entity ID:与IDaaS IdentityId保持一致
SP ACS URL(SSO Location):https://signin.aliyun.com/saml/SSO
AccessKeyID和AccessKeySecret:第一步创建的阿里云账号的AccessKeys
NameIdFormat:urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
Binding:POST
SP登录方式:应用自定义登录页
账户关联方式:账户关联
保存应用成功,切换到应用列表,查看应用详情,将该应用的账户同步地址,安全保存在本地。
获取用户账户同步接口认证的Key和Secret
进入应用列表 > 详情,开启API开关,复制API Key和API Secret到本地进行安全保存。
三、 在IDAAS中配置账户同步
进入应用 > 应用列表,找到新建应用,并开启该应用。
依次选择详情 > 同步
点击SCIM配置链接,进入配置页面:
SCIM同步地址:当前IDaaS域名地址+第二部分第4步获取的账户同步地址
注意地址中间没有空格,如果提供的接口开头有:openapi/2020-x-x,需要把这部分内容去掉
是否开启:开启此开关
协议类型:选择OAuth2
oauth url:当前IDaaS域名地址+/oauth/token
client_id和client_secret:第二部分第5步获取的API Key和API Secret
说明IDaaS域名地址可以在云盾IDaaS管理控制台获取。
在IDaaS中创建一个用户
在应用授权模块对新应用进行授权
账户同步进RAM
进入账户 > 机构及组,找到刚新增的账户,选择账户同步链接
选择同步按钮完成同步。
点击同步记录查看同步结果:
阿里云控制台中查看同步过来的账户
切换到阿里云控制台中:人员管理 > 用户菜单,人员列表中可查看到新同步过来的账户:
注意:以上步骤中有需安全保存到本地的关键信息,配置完成后请示情况进行安全删除。