在企业上云过程中,为降低维护和管理成本,通常需要将内部系统的账号同步至云端。通过SCIM(跨域身份管理系统)协议,结合阿里云IDaaS的OAuth应用安全授权,您可以将Okta中的用户或用户组同步到阿里云IDaaS,实现统一的身份管理。
前提条件
权限要求:
在阿里云IDaaS中,您需要具备管理员权限。
在Okta中,您需要具备超级管理员(Super Administrator)权限。
环境准备:
确保您的Okta实例已启用SCIM 2.0支持。
确保您的阿里云IDaaS实例已创建,并具备相应的网络访问权限。
步骤一:在 IDaaS 中创建应用并授权
在IDaaS控制台中创建一个新的应用(标准协议应用或自研应用),或者选择现有的应用进行配置。详情请参见步骤一:创建应用。
在应用管理页面,找到目标应用并进入其详情页。在账户同步标签下,切换到应用同步到IDaaS页签。请参见步骤二:IDaaS与应用间账户同步。
在IDaaS页签配置同步应用,需查看Bearer Token用于身份验证和SCIM Base URL以指定接收SCIM请求的客户端地址,并通过接口授权管理SCIM接口权限。
选择SCIM API接口权限,请参见开启API开放功能。
步骤二:在 Okta 中配置 SCIM 集成
在创建的应用里选择General页签,点击右上角Edit,启用SCIM配置,勾选Enable SCIM provisioning。
开启预配。
在To App页签上根据实际需求勾选对应选项。Sync Password按需勾选,若不勾选,Okta修改密码时,不会同步。勾选完成后单击Save保存。
在Integration页签,勾选Push New Users、Push Profile Updates、Push Groups选项用于推送新用户、配置文件更新和组信息。
在SCIM connector base URL 和Authorization 输入框中分别填入IDaaS的SCIM Base URL和Bearer Token。
测试连接是否成功,单击Test Connector Configuration。连接成功后提示Connector Configured successfully,单击Save保存。
同步用户。分配用户到应用,单击Assignments页签,选择Assign选项,本示例中采用Assign to People,确定需要分配的用户,单击Assign。根据实际需求修改相关属性,修改完成后,单击Save and Go Back选择需要同步的用户。
同步用户组。单击Push Groups页签,选择查找用户组的方式。本示例中采用Find groups by name,输入用户组名称,单击Save。当Push Status由Pushing变为Active,表示用户组同步成功。
重要需确保OKta与IDaaS的密码策略一致,您可以根据OKta的密码策略在IDaaS中进行相应配置,或根据IDaaS的密码策略在OKta中进行调整,以实现统一的密码安全要求。
步骤三:验证同步效果
返回IDaaS控制台,检查是否成功同步用户信息。
在用户或用户组列表中,查看同步成功的用户或用户组。同步的用户或用户组的来源会自动标识为SCIM导入。
通过以上步骤,您可以成功将 Okta中的用户或用户组同步到阿里云IDaaS 中,从而实现统一的身份管理。此方案不仅减少了手动维护的工作量,还提升了身份管理的效率和安全性。如需进一步帮助,请联系商务经理进行咨询,或联系产品技术专家进行咨询。