本文介绍如何通过 IDaaS,使用钉钉、企业微信、飞书、AD、OpenLDAP、Okta、AzureAD 等身份登录到云效。
基础介绍
云身份服务 IDaaS(英文名:Alibaba Cloud IDentity as a Service,简称IDaaS)是阿里云为企业用户提供云原生经济的、便捷的、标准的身份及权限管理体系。更多说明,请参考什么是IDaaS EIAM?。
IDaaS 支持多种上游企业身份体系的集成,使用这些身份单点登录到各类下游应用(如云效),实现两个打通:
数据流的打通:将上游企业身份数据同步到 IDaaS,并由 IDaaS 同步到下游应用
认证流的打通:使用这些身份登录到 IDaaS 以及通过 IDaaS 中集成的应用。
IDaaS 所支持的企业身份集成请参考身份提供方。
使用演示
通过 IDaaS 应用门户访问
直接访问云效地址
配置流程
步骤一、开通 IDaaS 实例
在正式开始配置之前,请访问阿里云 IDaaS 控制台,创建 IDaaS 实例。您可以参考1. 免费开通实例完成创建。
步骤二、在 IDaaS 中绑定身份提供方
IDaaS 标准支持众多企业上游身份的对接,同时支持私有化 Connector 组件定制对接企业非标准身份体系(如自建用户中心)。以下是 IDaaS 已经支持的企业上游身份:
步骤三、配置云效单点登录
单点登录到云效时,需要协同 RAM 账号实现统一登录,通过 RAM 用户 SSO 实现云效登录,详情请参考:阿里云-云效 SSO
由于阿里云-云效 SSO 基于阿里云用户 SSO 实现,且每个阿里云账号仅支持配置一个用户 SSO 身份提供商,因此通过 IDaaS 配置云效 SSO 后,用户将需要通过该 IDaaS 实例才可用户 SSO 访问对应的阿里云账号中的资源。
如果您的阿里云账号正在使用用户SSO,请谨慎评估和调整配置(如:使用非生产账号测试、确认生产账号没有使用用户 SSO 能力),以避免影响正常使用。
步骤四、配置云效数据同步
云效中的成员需要由阿里云 RAM 创建,您可以将 IDaaS 账户同步到 RAM,并将 RAM 用户同步到云效。详情请参考:
将 IDaaS 账户同步到 RAM:通过SCIM同步账户至RAM
将 RAM 用户同步到云效(推荐使用自动同步):添加 RAM 用户