在阿里云IDaaS中通过SCIM同步账户到阿里云RAM

前提条件

1. 您的阿里云账号或RAM用户有创建OAuth应用的权限。

2. 您的阿里云账号或RAM用户有为ServerApp授权的权限，且您仅能给自己账号下的ServerApp授权。

步骤一：在RAM控制台创建OAuth应用并授权

1. 使用阿里云账号登录RAM控制台。

2. 在左侧导航栏，单击OAuth应用（公测） > 企业应用 > 创建应用。

   

3. 填写应用名称、显示名称。在应用类型选择Server应用，单击创建应用按钮即可完成创建。

   

4. 单击创建的应用名称，在OAuth范围页签，单击添加OAuth范围。在弹出的添加OAuth范围页面中，勾选/acs/scim，然后单击确定。

   

5. 为OAuth应用授权。在应用 OAuth 范围页签，单击授权。跳转到应用授权页面，选中阿里云跨域身份管理服务，然后单击授权。

   

   

6. 在应用密钥页签，单击创建密钥，系统将自动生成应用密钥对（包含AppSecretId和AppSecretValue）。

7. 密钥生成成功后。单击下载密钥将密钥文件保存至安全位置。确认保存完成后，单击关闭退出当前窗口。

   重要

   密钥仅在此刻显示，关闭后无法再次获取。

步骤二：在IDaaS配置SCIM同步

1. 在IDaaS实例控制台应用界面，单击添加应用进入应用市场 ，选择阿里云用户SSO应用模板进行添加。

   

2. 切换至账户同步页签，设置同步范围后单击保存。

   

3. 开启IDaaS 同步到应用。

   

4. 基础配置。

   1. 填写client_id和client_secret。

      1. 登录RAM控制台。在左侧导航栏，选择集成管理 > OAuth 应用（公测）。

      2. 找到您要用于SCIM同步的应用程序，点击其名称进入详情页。

      3. 在应用详情页的基本信息部分，可以获取应用ID（即client_id）。

      4. 在步骤一密钥生成处的AppSecretValue处获取client_secret。

         

   2. 操作调用：管理员可订阅指定变更事件（如用户创建、更新、删除等），当IDaaS发生相关变更时，系统自动触发同步，实时推送至目标应用。

   3. 全量推送范围：勾选后，一键推送时会将对应数据推送到应用。

5. 字段映射：支持自定义SCIM字段映射关系，根据业务需求灵活调整属性匹配规则。调整完成后，单击保存映射按钮，确保数据准确同步。

6. 在配置完成后，单击保存。建议您通过测试连接功能检查配置是否正确。

   

   若有需要，管理员可以通过一键推送功能，将在同步范围内的账户一次性全部推送到RAM中。

步骤三：在IDaaS中进行同步操作

单击一键推送后同步范围内账户会同步至RAM。

相关文档

• 如果在同步过程中遇到RAM账户删除失败的问题，请参见：IDaaS同步删除RAM账号失败如何解决？