IDaaS同步账户到RAM配置说明手册

背景信息

在现代企业的数字化管理中，某些企业员工日常办公需要访问阿里云控制台，但应用系统之间账户并未同步，成为一个个信息孤岛，所有应用的数据同步难题，正困扰着越来越多的企业管理者。

解决方案

通过IDaaS应用身份服务的SCIM协议,将企业内部共享数据同步到阿里云RAM服务中去。

操作步骤

一、RAM账号准备

1. 添加RAM用户。具体操作步骤，请参见创建RAM用户。

2. 给RAM用户创建AccessKey，包括AccessKey ID和AccessKey Secret，并安全保存到本地。具体操作步骤，请参见创建AccessKey。

3. 给RAM用户设置管理RAM的权限（AliyunRAMFullAccess）。具体操作步骤，请参见为RAM用户授权。

二、IDaaS添加阿里云控制台

1. 应用列表中选择阿里云RAM-用户SSO添加应用

   

2. 添加SigningKey（证书）

   

3. 配置SAML内容在SigningKey列表界面中右侧点击“选择”

   进入SAML配置界面。根据提示填写个人域名， identityId和SP identityId等参数保存。下图是根据RAM账号信息内容进行的填写示例：

   • 阿里云个人域名称：例如1894063505540386.onaliyun.com，其中 1894063505540386 需要替换成阿里云账号ID

   • IDaaS IdentityId：例如 https://signin.aliyun.com/1894063505540386/saml/SSO，其中 1894063505540386 需要替换成阿里云账号ID

     说明

     阿里云账户ID 获取方式如下：

     在阿里云控制台点击右上角头像图标，在账号管理-安全设置页面获取阿里云账号ID

     

   • SP Entity ID：与IDaaS IdentityId保持一致

   • SP ACS URL(SSO Location)：https://signin.aliyun.com/saml/SSO

   • AccessKeyID和AccessKeySecret：第一步创建的阿里云账号的AccessKeys

   • NameIdFormat：urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

   • Binding：POST

   • SP登录方式：应用自定义登录页

   • 账户关联方式：账户关联

     

4. 保存应用成功，切换到应用列表，查看应用详情，将该应用的账户同步地址，安全保存在本地。

   

5. 获取用户账户同步接口认证的Key和Secret

   进入应用列表 > 详情，开启API开关，复制API Key和API Secret到本地进行安全保存。

三、 在IDAAS中配置账户同步

1. 进入应用 > 应用列表，找到新建应用，并开启该应用。

   

2. 依次选择详情 > 同步

   

3. 点击SCIM配置链接，进入配置页面：

   

   SCIM同步地址：当前IDaaS域名地址+第二部分第4步获取的账户同步地址

   注意

   地址中间没有空格，如果提供的接口开头有：openapi/2020-x-x,需要把这部分内容去掉

   是否开启：开启此开关

   协议类型：选择OAuth2

   oauth url：当前IDaaS域名地址+/oauth/token

   client_id和client_secret：第二部分第5步获取的API Key和API Secret

   说明

   IDaaS域名地址可以在云盾IDaaS管理控制台获取。

   

4. 在IDaaS中创建一个用户

   

5. 在应用授权模块对新应用进行授权

   

6. 账户同步进RAM

   进入账户 > 机构及组，找到刚新增的账户，选择账户同步链接

   

   选择同步按钮完成同步。

   点击同步记录查看同步结果：

7. 阿里云控制台中查看同步过来的账户

   切换到阿里云控制台中：人员管理 > 用户菜单，人员列表中可查看到新同步过来的账户：

   

   注意：以上步骤中有需安全保存到本地的关键信息，配置完成后请示情况进行安全删除。