文档

阿里云应用管理权限说明

更新时间:

说明

本文档旨在阐述阿里云其他产品与 IDaaS 的应用管理能力之间合作分工。若您并未使用其他依赖于 IDaaS 的阿里云产品,则无需关注。

阿里云 IDaaS 致力于为云生态提供安全的身份服务,和诸多阿里云其他产品有不同程度的合作和对接。因此,IDaaS 服务的稳定性、应用配置的稳定性对客户而言至关重要。

因此,我们基于资源“谁创建、谁管理、谁销毁”的原则,将应用资源的生命周期管理托管到云产品来负责,应用的创建、配置、管理、删除等均需要从云产品侧发起调用,在 IDaaS 中无法对该应用进行正常管理。

例如,在应用市场中,阿里云产品将作为生态伙伴得到优先展示,并无法在 IDaaS 中主动创建,必须前往云产品控制台创建,通过用户管理功能与 IDaaS 实例完成绑定,以此在 IDaaS 中创建出对应应用来。参照下图中阿里云 RPA 应用在 IDaaS 应用市场中的展示形式。

image

由于云产品应用的生命周期托管给了云产品本身,涉及的 OpenAPI 接口和对应功能也都具备权限区分限制,如果是普通用户尝试对云产品应用进行无权限操作,则返回如下错误码:InvalidOperation.ResourceManagedByCloudProduct,调用方需要对此错误进行识别。

具体权限分工参照下表:

操作描述

OpenAPI

您的阿里云账号

创建托管应用的云产品

更新应用名称和Logo

UpdateApplicationInfo

不可操作

可以操作

更新应用描述信息

UpdateApplicationDescription

可以操作

可以操作

删除应用

DeleteApplication

不可操作

可以操作

启用应用

EnableApplication

不可操作

可以操作

禁用应用

DisableApplication

不可操作

可以操作

启用应用SSO功能

EnableApplicationSso

不可操作

可以操作

设置应用SSO配置

SetApplicationSsoConfig

不可操作

可以操作

禁用应用SSO功能

DisableApplicationSso

不可操作

可以操作

设置应用账户同步范围

SetApplicationProvisioningScope

不可操作

可以操作

设置应用账户同步配置

SetApplicationProvisioningConfig

不可操作

可以操作

禁用应用账户同步功能

DisableApplicationProvisioning

不可操作

可以操作

启用应用账户同步功能

EnableApplicationProvisioning

不可操作

可以操作

禁用应用DeveloperAPI调用功能

DisableApplicationApiInvoke

不可操作

可以操作

启用应用DeveloperAPI调用功能

EnableApplicationApiInvoke

不可操作

可以操作

设置应用DeveloperAPI操作接口功能范围

SetApplicationGrantScope

不可操作

可以操作

创建应用ClientSecret

CreateApplicationClientSecret

不可操作

可以操作

删除应用ClientSecret

DeleteApplicationClientSecret

不可操作

可以操作

获取应用ClientSecret

ObtainApplicationClientSecret

不可操作

可以操作

启用应用ClientSecret

EnableApplicationClientSecret

不可操作

可以操作

禁用应用ClientSecret

DisableApplicationClientSecret

不可操作

可以操作

其它与 Application 相关能力、只读能力

可以操作

可以操作

  • 本页导读 (0)
文档反馈