在使用OIDC角色SSO时,需要创建身份提供商。

创建OIDC身份提供商

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择集成管理 > SSO管理
  3. 角色SSO页签,先单击OIDC页签,然后单击创建身份提供商
  4. 创建身份提供商页面,设置身份提供商信息。
    参数说明
    身份提供商名称同一个阿里云账号下必须唯一。
    颁发者URL颁发者URL由外部IdP提供。颁发者URL必须以https开头,符合标准URL格式,但不允许带有query参数(以?标识)、fragment片段(以#标识)和登录信息(以@标识)。
    验证指纹为了防止颁发者URL被恶意劫持或篡改,您需要配置外部IdP的HTTPS CA证书生成的验证指纹。阿里云会辅助您自动计算该验证指纹,但是建议您在本地自己计算一次(例如:使用OpenSSL计算指纹),与阿里云计算的指纹进行对比。如果对比发现不同,则说明该颁发者URL可能已经受到攻击,请您务必再次确认,并填写正确的指纹。
    客户端ID您的应用在外部IdP注册的时候,会生成一个客户端ID(Client ID)。当您从外部IdP申请签发OIDC令牌时必须使用该客户端ID,签发出来的OIDC令牌也会通过aud字段携带该客户端ID。在创建OIDC身份提供商时配置该客户端ID,然后在使用OIDC令牌换取STS Token时,阿里云会校验OIDC令牌中aud字段所携带的客户端ID与OIDC身份提供商中配置的客户端ID是否一致。只有一致时,才允许扮演角色。

    如果您有多个应用需要访问阿里云,您可以配置多个客户端ID,但最多不能超过20个。

    备注身份提供商的描述信息。
  5. 单击确定

查看OIDC身份提供商信息

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择集成管理 > SSO管理
  3. 角色SSO页签,先单击OIDC页签,然后单击目标身份提供商名称。
  4. 身份提供商信息区域,查看身份提供商名称身份提供商类型创建时间更新时间备注ARN颁发者URL

修改OIDC身份提供商信息

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择集成管理 > SSO管理
  3. 角色SSO页签,先单击OIDC页签,然后单击目标身份提供商名称。
  4. 身份提供商信息区域,单击备注右侧的编辑,修改备注信息。
  5. 客户端ID区域,单击添加删除,添加或删除客户端ID。
    说明 最多添加20个客户端ID。只有1个客户端ID时,无法删除。
  6. 指纹区域,单击添加删除,添加或删除验证指纹。
    说明 最多添加5个验证指纹。只有1个验证指纹时,无法删除。

删除OIDC身份提供商

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择集成管理 > SSO管理
  3. 角色SSO页签,先单击OIDC页签,然后单击目标OIDC身份提供商操作列的删除
  4. 删除身份提供商对话框,单击确定