配置SCIM密钥和SAML签名证书过期的报警通知

更新时间:

本文为您介绍如何通过配置审计和云监控实现云SSO的SCIM密钥和SAML签名证书过期事件的报警通知。

应用场景

SCIM密钥过期

您在配置云SSO和企业IdP身份联合的SCIM用户同步时,需要创建SCIM密钥。更多信息,请参见管理SCIM密钥

该密钥的有效期为一年,密钥过期后SCIM同步将会中断。因此,您需要提前创建新的密钥进行轮换。为保证您的同步设置持续有效,您可以通过配置审计合规规则设置SCIM密钥过期规则,通过云监控进行报警通知,提前轮换密钥。

SAML签名证书过期

您在配置云SSO和企业IdP的身份联合SSO单点登录时,需要上传企业IdP的元数据文件,其中包含IdP的SAML签名证书信息,云SSO通过元数据文件获取到该证书的有效期。更多信息,请参见管理单点登录

若SAML签名证书过期,SSO单点登录将失败,用户无法通过云SSO登录阿里云。因此,您需要在证书过期前在IdP创建新的证书进行轮换。您可以通过配置审计合规规则设置SAML签名证书过期规则,通过云监控进行报警通知,提前轮换证书。

操作步骤

使用云SSO管理员完成以下操作。

步骤一:在配置审计中创建合规规则

  1. 登录配置审计控制台

  2. 单击立即启用,开通配置审计。

    说明

    如果您已开通配置审计,可以跳过该步。

  3. 创建合规规则。

    1. 在左侧导航栏,选择合规审计 > 规则

    2. 规则页面,单击新建规则

    3. 选择创建方式页面,先选择基于模板创建,然后从模板中选择规则,再单击下一步

      规则模板选择云SSO SCIM密钥过期检查云SSO SAML签名证书过期检查

    4. 设置基本属性页面,设置规则的基本属性,然后单击下一步

      参数设置区域,输入过期前多少天视为不合规,默认值为90天,您可以根据需要修改。

      其他属性保持默认。

    5. 设置生效范围页面,查看默认选中的资源类型,然后单击下一步

    6. 设置修正页面,单击提交

      您可以打开设置修正开关,根据控制台提示,设置模板修正或自定义修正。关于如何设置修正,请参见修正设置概述

步骤二:在云监控中创建报警

  1. 登录云监控控制台

  2. 创建报警联系人。

    具体操作,请参见创建报警联系人

  3. 创建报警联系组。

    具体操作,请参见创建报警联系人组

  4. 创建订阅策略。

    配置审计将所有不合规事件投递到云监控后,您可以根据所需创建系统事件订阅策略,接收不合规事件的报警通知。

    1. 在左侧导航栏,选择事件中心 > 事件订阅

    2. 订阅策略页签,单击创建订阅策略

    3. 创建订阅策略页面,设置订阅策略的相关参数。

      • 基本信息:输入订阅策略名称。

      • 报警订阅订阅类型选择系统事件订阅范围中的产品选择配置审计事件类型选择通知事件名称选择不合规事件事件等级选择通知事件内容输入Critical应用分组事件资源均不设置。

        说明

        关于配置审计支持的系统事件,请参见配置审计

      • 合并降噪:使用默认值。

      • 通知:创建通知配置,自定义通知方式使用默认通知方式。

        创建通知配置时,先输入通知配置名称,再选择通知设置直接设置通知组,然后选择报警联系组,最后单击确定

        说明
        • 关于如何创建通知配置,请参见创建通知配置策略

        • 系统自动根据报警组中报警联系人的通知方式发送报警通知,例如:报警联系人中设置了手机号码和邮箱,自定义通知方式使用默认通知方式,则报警联系人只会收到报警电话、短信和邮件。

      • 推送与集成:无需配置。

    4. 单击确定

相关文档