在使用OIDC角色SSO时,需要创建身份提供商。

创建OIDC身份提供商

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击SSO管理
  3. 角色SSO页签,先单击OIDC页签,然后单击创建身份提供商
  4. 创建身份提供商页面,设置身份提供商信息。
    参数 说明
    身份提供商名称 同一个阿里云账号下必须唯一。
    颁发者URL 颁发者URL由外部IdP提供。颁发者URL必须以https开头,符合标准URL格式,但不允许带有query参数(以?标识)、fragment片段(以#标识)和登录信息(以@标识)。
    验证指纹 为了防止颁发者URL被恶意劫持或篡改,您需要配置外部IdP的HTTPS CA证书生成的验证指纹。阿里云会辅助您自动计算该验证指纹,但是建议您在本地自己计算一次(例如:使用OpenSSL计算指纹),与阿里云计算的指纹进行对比。如果对比发现不同,则说明该颁发者URL可能已经受到攻击,请您务必再次确认,并填写正确的指纹。
    客户端ID 您的应用在外部IdP注册的时候,会生成一个客户端ID(Client ID)。当您从外部IdP申请签发OIDC令牌时必须使用该客户端ID,签发出来的OIDC令牌也会通过aud字段携带该客户端ID。在创建OIDC身份提供商时配置该客户端ID,然后在使用OIDC令牌换取STS Token时,阿里云会校验OIDC令牌中aud字段所携带的客户端ID与OIDC身份提供商中配置的客户端ID是否一致。只有一致时,才允许扮演角色。

    如果您有多个应用需要访问阿里云,您可以配置多个客户端ID,但最多不能超过20个。
    备注 身份提供商的描述信息。
  5. 单击确定

查看OIDC身份提供商信息

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击SSO管理
  3. 角色SSO页签,先单击OIDC页签,然后单击目标身份提供商名称。
  4. 身份提供商信息区域,查看身份提供商名称身份提供商类型创建时间更新时间备注ARN颁发者URL

修改OIDC身份提供商信息

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击SSO管理
  3. 角色SSO页签,先单击OIDC页签,然后单击目标身份提供商名称。
  4. 身份提供商信息区域,单击备注右侧的编辑,修改备注信息。
  5. 客户端ID区域,单击添加删除,添加或删除客户端ID。
    说明 最多添加20个客户端ID。只有1个客户端ID时,无法删除。
  6. 指纹区域,单击添加删除,添加或删除验证指纹。
    说明 最多添加5个验证指纹。只有1个验证指纹时,无法删除。

删除OIDC身份提供商

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击SSO管理
  3. 角色SSO页签,先单击OIDC页签,然后单击目标OIDC身份提供商操作列的删除
  4. 删除身份提供商对话框,单击确定