本文介绍如何通过 IDaaS,使用钉钉、企业微信、飞书、AD、OpenLDAP、Okta、AzureAD 等身份登录到云效。
基础介绍
云身份服务 IDaaS(英文名:Alibaba Cloud IDentity as a Service,简称IDaaS)是阿里云为企业用户提供云原生经济的、便捷的、标准的身份及权限管理体系。更多说明,请参考什么是IDaaS EIAM?。
IDaaS 支持多种上游企业身份体系的集成,使用这些身份单点登录到各类下游应用(如云效),实现两个打通:
数据流的打通:将上游企业身份数据同步到 IDaaS,并由 IDaaS 同步到下游应用。
认证流的打通:使用这些身份登录到 IDaaS 以及通过 IDaaS 中集成的应用。
IDaaS 所支持的企业身份集成请参考身份提供方。
使用演示
通过 IDaaS 应用门户访问
直接访问云效地址
配置流程
步骤一:开通 IDaaS 实例
在正式开始配置之前,请访问阿里云 IDaaS 控制台,创建 IDaaS 实例。您可以参考EIAM SSO快速入门完成创建。
步骤二:在 IDaaS 中绑定身份提供方
IDaaS 标准支持众多企业上游身份的对接,同时支持私有化 Connector 组件定制对接企业非标准身份体系(如自建用户中心)。以下是 IDaaS 已经支持的企业上游身份:
步骤三:配置云效单点登录
单点登录到云效时,需要协同 RAM 账号实现统一登录,通过 RAM 用户 SSO 实现云效登录,详情请参考:阿里云-云效 SSO。
由于阿里云-云效 SSO 基于阿里云用户 SSO 实现,且每个阿里云账号仅支持配置一个用户 SSO 身份提供商,因此通过 IDaaS 配置云效 SSO 后,用户将需要通过该 IDaaS 实例才可用户 SSO 访问对应的阿里云账号中的资源。
如果您的阿里云账号正在使用用户SSO,请谨慎评估和调整配置(如:使用非生产账号测试、确认生产账号没有使用用户 SSO 能力),以避免影响正常使用。
步骤四:配置云效数据同步
云效中的成员需要由阿里云 RAM 创建,您可以将 IDaaS 账户同步到 RAM,并将 RAM 用户同步到云效。详情请参考:
将 IDaaS 账户同步到 RAM:在阿里云IDaaS中通过SCIM同步账户到阿里云RAM。
将 RAM 用户同步到云效(推荐使用自动同步):添加 RAM 用户。