本文为您介绍如何配置使IDaaS同步账户到阿里云RAM中,以实现两个平台的账户信息同步保持一致。
背景信息
在现代企业的数字化管理中,某些企业员工日常办公需要访问阿里云控制台,但应用系统之间账户并未同步,成为一个个信息孤岛,所有应用的数据同步难题,正困扰着越来越多的企业管理者。
解决方案
通过IDaaS应用身份服务的SCIM协议,将企业内部共享数据同步到阿里云RAM服务中去。
操作步骤
一、RAM账号准备
- 使用阿里云账号登录阿里云
- 进入访问控制
登录控制台–>产品与服务–>搜索访问控制–>进入RAM访问控制
- 添加用户
点击左侧 人员管理-用户 进入阿里云用户列表,创建一个账户,如 test003 ,创建成功后在用户列表中可以看到该用户。
- 点击账户名称进入账户详情页面,点击创建AccessKey
将生成 AccessKey ID 和 AccessKey Secret 安全保存到本地。
- 给新用户设置管理RAM的权限(AliyunRAMFullAccess)
切换到权限管理标签,点击添加权限
在搜索框中输入 RAM,即可快速找到 AliyunRAMFullAccess 权限策略。点击该策略,选上之后点击确定保存即可。
二、IDaaS添加阿里云控制台
- 应用列表中选择阿里云RAM-用户SSO添加应用
- 添加SigningKey(证书)
- 配置SAML内容在SigningKey列表界面中右侧点击“选择”
进入SAML配置界面。根据提示填写个人域名, identityId和SP identityId等参数保存。下图是根据RAM账号信息内容进行的填写示例:
- 阿里云个人域名称:例如1894063505540386.onaliyun.com,其中 1894063505540386 需要替换成阿里云账号ID
- IDaaS IdentityId:例如 https://signin.aliyun.com/1894063505540386/saml/SSO,其中 1894063505540386
需要替换成阿里云账号ID
说明
阿里云账户ID 获取方式如下:
在阿里云控制台点击右上角头像图标,在账号管理-安全设置页面获取阿里云账号ID
- SP Entity ID:与IDaaS IdentityId保持一致
- SP ACS URL(SSO Location):https://signin.aliyun.com/saml/SSO
- AccessKeyID和AccessKeySecret:第一步创建的阿里云账号的AccessKeys
- NameIdFormat:urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- Binding:POST
- SP登录方式:应用自定义登录页
- 账户关联方式:账户关联
- 保存应用成功,切换到应用列表,查看应用详情,将该应用的账户同步地址,安全保存在本地。
- 获取用户账户同步接口认证的Key和Secret
进入应用列表 > 详情,开启API开关,复制API Key和API Secret到本地进行安全保存。
三、 在IDAAS中配置账户同步
- 进入应用 > 应用列表,找到新建应用,并开启该应用。
- 依次选择详情 > 同步
- 点击SCIM配置链接,进入配置页面:
SCIM同步地址:当前IDaaS域名地址+第二部分第4步获取的账户同步地址注意 地址中间没有空格,如果提供的接口开头有:openapi/2020-x-x,需要把这部分内容去掉是否开启:开启此开关
协议类型:选择OAuth2
oauth url:当前IDaaS域名地址+/oauth/token
client_id和client_secret:第二部分第5步获取的API Key和API Secret说明 IDaaS域名地址可以在云盾IDaaS管理控制台获取。
- 在IDaaS中创建一个用户
- 在应用授权模块对新应用进行授权
- 账户同步进RAM
进入账户 > 机构及组,找到刚新增的账户,选择账户同步链接
选择同步按钮完成同步。
点击同步记录查看同步结果:
- 阿里云控制台中查看同步过来的账户
切换到阿里云控制台中:人员管理 > 用户菜单,人员列表中可查看到新同步过来的账户:
注意:以上步骤中有需安全保存到本地的关键信息,配置完成后请示情况进行安全删除。