全部产品

IDaaS与访问控制RAM系统对接场景

更新时间:2020-01-09 21:41:04

本篇主要为应用身份服务IDaaS与访问控制RAM在日常使用中的对接场景介绍,通过本篇的介绍可使您了解应用身份服务IDaaS在日常办公中对RAM系统有哪些帮助和提升。

背景

在信息化向数字化转型中,许许多多的企业都选择将应用逐步迁移上云,在使用阿里云服务中都选择使用RAM系统来管理阿里云服务的资源。在每天的工作中员工需要反复的登入RAM系统,不仅如此员工还需要登录其他应用系统,在登录过程就为员工带来很多重复性工作,员工需要记录多套账号密码。并且员工的账号生命周期管理需要在每个系统中单独进行维护,RAM系统也需要单独维护一套组及人员信息。以上的诸多问题为员工、公司管理员、企业管理者都带来巨大问题和挑战。

解决方案介绍

针对以上提出的问题和挑战,应用身份服务IDaaS提供一套完整的解决方案将RAM系统的账号管理、认证管理、权限管理、登录审计等场景进行整合,从而提高员工的工作效率,降低企业的管理成本,节省人力资源。
架构图

场景介绍

1、根据RAM系统账号实现单点登录

通过应用身份服务IDaaS调用RAM系统单点登录接口,与RAM系统实际账号关联。在应用身份服务IDaaS中用户通过账号关联的方式将个人主账号与RAM系统账号一一对应,即可实现单点登录。

2、根据RAM系统角色实现单点登录

通过应用身份服务IDaaS调用RAM系统单点登录接口,与RAM系统角色进行关联。RAM系统预设用户角色,在应用身份服务IDaaS中将账号与角色进行关联,实现账号登录。

3、AD或LDAP用户数据同步至RAM系统

在通常下RAM系统是无法将AD或LDAP的用户数据拉取至RAM系统中,AD或LDAP也无法将用户数据推送至RAM系统内部。通过应用身份服务IDaaS的账号管理功能可将AD或LDAP的用户数据拉取至应用身份服务IDaaS中,再调用RAM系统的数据同步接口将用户从应用身份服务IDaaS同步到RAM系统中,实现无缝对接。

4、使用AD账户或钉钉扫码登录RAM系统

IDaaS支持各种认证源,比如使用AD账户进行登录,到IDaaS认证通过后,可以直接登录到RAM系统。

5、审计日志-登录RAM系统行为

在RAM系统中,RAM系统不会记录用户的登录行为。作为公司的管理人员,在日常工作中无法查询哪类用户在某时间段登录RAM系统,这对管理带来很大的风险。通过应用身份服务IDaaS与RAM系统的联动,可实现通过应用身份服务IDaaS登录到RAM系统的行为会完全审计,哪个用户、哪个IP地址、哪个时间段登录到RAM系统中。

配置文档

RAM和IDaaS对接操作文档