客户端通过STS Token调用OpenAPI获取IDaaS M2M应用的Access Token，适用于无法使用联邦凭证认证的场景。-应用身份服务 (IDaaS)(IDaaS)-阿里云帮助中心

文档备案控制台

输入文档关键字查找

无法通过 PKCS#7、OIDC 等联邦凭证方式进行认证的场景下，IDaaS 支持通过 OpenAPI 的方式获取客户端 Access Token。本文介绍使用 OpenAPI 认证所需的阿里云 RAM 权限相关配置。

使用 OpenAPI 认证时，需先通过阿里云 RAM 角色获取 STS Token。使用 STS Token 访问 IDaaS 的 OpenAPI，获取对应应用的 Access Token。阿里云 RAM 角色需具备访问 IDaaS 应用的权限。本文档以函数计算服务为例进行说明。

创建权限策略

登录 RAM 访问控制的控制台。
单击导航栏权限管理 > 权限策略。
单击创建权限策略。
单击脚本编辑，将修改后的权限策略复制到编辑框中。
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "eiam:GenerateOauthToken",
      "Resource": [
        "acs:eiam:<regionId>:<accountId>:instance/<InstanceId>/application/<ApplicationId>"
      ]
    }
  ]
}
```
权限策略中的 Resource 字段值需按照实际情况填写。将<regionId>替换为IDaaS EIAM 实例所在地域 ID，<accountId>替换为阿里云主账号 ID，<InstanceId>替换为 IDaaS EIAM 实例 ID，<ApplicationId>替换为所要访问的 IDaaS M2M 客户端应用的应用 ID。
单击确定并给权限策略命名，示例：openapi-authentication-policy。

创建 RAM 角色并关联权限

登录 RAM 访问控制的控制台。
单击导航栏身份管理 > 角色。
单击创建角色，信任主体类型选择云服务，信任主体名称选择函数计算 / FC。
单击确定，并给角色命名，示例： openapi-authentication-fc-role。
定位刚创建的角色，单击操作列下的新增授权。
权限策略中选择 openapi-authentication-policy，单击确认新增授权。

挂载 RAM 角色

登录函数计算控制台。
单击导航栏函数管理 > 函数列表。
定位目标函数实例，单击操作列下的配置。
在函数详情页签下，单击高级配置右侧的编辑。
在权限中选择 openapi-authentication-fc-role 角色。
配置完成后，单击部署。

详细配置可参考使用函数角色授予函数计算访问其他云服务的权限。

上一篇：代码集成下一篇：应用开发 API 参考

该文章对您有帮助吗？