虚商客户无法直接登录阿里云控制台,需要调用安全访问接口实现虚商客户的免登访问。本文介绍免登访问流程。

背景信息

为了让用户可以用登录阿里云控制台,阿里云除了提供主账号或子帐号登录控制台的机制外,还需要提供使用安全令牌(STS Token)登录阿里云控制台的功能。虚商伙伴作为受信实体通过角色扮演获取安全令牌,实现用户免登登录。

前提条件

虚商伙伴使用主账号登录阿里云官网:

免登流程

免登录流程如下图所示。

免登登录流程图
  1. 用户登录虚商伙伴自己的Portal。
  2. 虚商伙伴使用已创建的 RAM 子账号作为可信实体使用其 AccessKey ID 和 AccessKey Secret 作为参数调用 AssumeRole 接口扮演虚商客户。然后虚商伙伴使用主账号调用 GetSigninToken 向登录服务申请阿里云控制台的临时安全令牌(SigninToken)。
    说明 不能使用虚商伙伴主账号的 AccessKey ID 和 AccessKey Secret 调用 AssumeRole 接口,否则会调用失败。
  3. 登录服务返回临时安全令牌给虚商伙伴。
  4. 虚商伙伴返回临时安全令牌给用户。
  5. 虚商伙伴调用 Login 接口使用临时安全令牌向阿里云登录服务系统请求登录。
  6. 阿里云登录服务系统验证成功后返回请求结果。
  7. 用户登录阿里云产品控制台。

相关文档