虚商客户无法直接登录阿里云控制台,需要调用安全访问接口实现虚商客户的免登访问。本文介绍免登访问流程。
背景信息
为了让用户可以登录阿里云控制台,阿里云除了提供主账号或子账号登录控制台的机制外,还需要提供使用安全令牌(STS Token)登录阿里云控制台的功能。虚商伙伴作为受信实体通过角色扮演获取安全令牌,实现用户免登登录。
前提条件
虚商伙伴使用主账号登录阿里云官网:
- 开通 RAM 服务,具体操作请参见计费方法。
- 创建RAM用户。 说明 并不是每次角色扮演都需要创建一个新的 RAM 用户,可以直接使用已存在的 RAM 用户即可。
- 为 RAM 用户赋予 AliyunSTSAssumeRoleAccess 权限,具体操作请参见为RAM用户授权。
- 创建AccessKey。
免登流程
免登录流程如下图所示。
- 用户登录虚商伙伴自己的Portal。
- 虚商伙伴使用已创建的 RAM 子账号作为可信实体使用其 AccessKey ID 和 AccessKey Secret 作为参数调用 AssumeRole 接口扮演虚商客户。然后虚商伙伴使用主账号调用 GetSigninToken 向登录服务申请阿里云控制台的临时安全令牌(SigninToken)。 说明 不能使用虚商伙伴主账号的 AccessKey ID 和 AccessKey Secret 调用 AssumeRole 接口,否则会调用失败。
- 登录服务返回临时安全令牌给虚商伙伴。
- 虚商伙伴返回临时安全令牌给用户。
- 虚商伙伴调用 Login 接口使用临时安全令牌向阿里云登录服务系统请求登录。
- 阿里云登录服务系统验证成功后返回请求结果。
- 用户登录阿里云产品控制台。