在使用OIDC角色SSO时,需要创建身份提供商。
创建OIDC身份提供商
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在角色SSO页签,先单击OIDC页签,然后单击创建身份提供商。
- 在创建身份提供商页面,设置身份提供商信息。
参数 说明 身份提供商名称 同一个阿里云账号下必须唯一。 颁发者URL 颁发者URL由外部IdP提供。颁发者URL必须以 https
开头,符合标准URL格式,但不允许带有query参数(以?
标识)、fragment片段(以#
标识)和登录信息(以@
标识)。验证指纹 为了防止颁发者URL被恶意劫持或篡改,您需要配置外部IdP的HTTPS CA证书生成的验证指纹。阿里云会辅助您自动计算该验证指纹,但是建议您在本地自己计算一次(例如:使用OpenSSL计算指纹),与阿里云计算的指纹进行对比。如果对比发现不同,则说明该颁发者URL可能已经受到攻击,请您务必再次确认,并填写正确的指纹。 客户端ID 您的应用在外部IdP注册的时候,会生成一个客户端ID(Client ID)。当您从外部IdP申请签发OIDC令牌时必须使用该客户端ID,签发出来的OIDC令牌也会通过 aud
字段携带该客户端ID。在创建OIDC身份提供商时配置该客户端ID,然后在使用OIDC令牌换取STS Token时,阿里云会校验OIDC令牌中aud
字段所携带的客户端ID与OIDC身份提供商中配置的客户端ID是否一致。只有一致时,才允许扮演角色。如果您有多个应用需要访问阿里云,您可以配置多个客户端ID,但最多不能超过20个。
备注 身份提供商的描述信息。 - 单击确定。
查看OIDC身份提供商信息
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在角色SSO页签,先单击OIDC页签,然后单击目标身份提供商名称。
- 在身份提供商信息区域,查看身份提供商名称、身份提供商类型、创建时间、更新时间、备注、ARN和颁发者URL。
修改OIDC身份提供商信息
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在角色SSO页签,先单击OIDC页签,然后单击目标身份提供商名称。
- 在身份提供商信息区域,单击备注右侧的编辑,修改备注信息。
- 在客户端ID区域,单击添加或删除,添加或删除客户端ID。说明 最多添加20个客户端ID。只有1个客户端ID时,无法删除。
- 在指纹区域,单击添加或删除,添加或删除验证指纹。说明 最多添加5个验证指纹。只有1个验证指纹时,无法删除。
删除OIDC身份提供商
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在角色SSO页签,先单击OIDC页签,然后单击目标OIDC身份提供商操作列的删除。
- 在删除身份提供商对话框,单击确定。