本文介绍如何在阿里云IDaaS(EIAM)中使用SCIM(System for Cross-domain Identity Management)协议实现账户供给。通过SCIM标准接口,企业可高效同步用户及组织数据至第三方应用,简化身份管理流程,提升运维效率。内容涵盖配置步骤、接口调用及注意事项,助力企业快速集成跨系统身份信息。
注意事项
SCIM规范并不支持组织同步,当前IDaaS EIAM不支持同步组织机构到下游;
IDaaS EIAM当前同时支持组和账号同步,但实际能否同步到下游应用取决于该应用的对接能力。当前阿里云RAM仅支持账户同步,阿里云Cloud SSO支持账户和组同步。
在进行RAM或Cloud SSO应用SCIM同步时,由于阿里云RAM对大小写不敏感,为了避免冲突,账户字段值将全部转小写后同步到RAM中。
配置方式
在应用管理的账户同步标签下,管理员可以选择SCIM协议作为同步方式,实现通过SCIM协议将账户同步到支持SCIM协议的应用。
配置SCIM同步需要您在IDaaS和应用侧同时进行管理配置。以阿里云访问控制(RAM)或云SSO(CloudSSO)应用为例,您可结合应用文档与本文档完成操作。如果您希望同步到其他应用,您需要检索到对应应用的SCIM同步启用文档,并结合本文档完成操作。
应用 | 文档 |
阿里云 RAM | |
阿里云 CloudSSO |
配置SCIM同步的方式和配置基于事件回调的快捷模式类似。首先需指定同步的节点范围,然后配置 SCIM 客户端参数。
参数说明如下:
新字段 | 说明 |
出口IP | 请将IDaaS出口IP在您的安全设置中加白,保障IDaaS请求可顺利抵达接收方。 |
SCIM Base URL | 填写接收SCIM同步请求的客户端地址。 例如阿里云RAM的SCIM Base URL应固定为:SCIM Base URL固定地址。 |
接口授权 | 不同的SCIM客户端可能要求不同的接口鉴权方式。IDaaS支持OAuth客户端模式和密钥模式两个选项,请参考客户端进行配置。 例如阿里云RAM支持OAuth客户端模式对SCIM请求进行鉴权,如下图:
|
操作调用 | 管理员可以选择性地订阅希望关注的变更事件,获取即时推送。 当IDaaS中发生了对应变更后,将会自动触发同步,将变更即时更新至应用中。
说明 操作调用的事件对增量同步和全量同步均生效。 |
全量推送范围 | 当进行一键推送(即全量同步)时,只会推送该应用同步范围内的、全量推送范围所选数据类型的数据到下游应用。例如只推送账户数据。
说明 全量推送范围仅对全量同步生效,增量同步不生效。 |
字段映射 | 用于展示和编辑SCIM同步过程中的字段映射关系。
|
在配置完成保存后,我们建议您通过测试连接功能检查配置是否正确。
若有需要,管理员可以通过一键推送功能,将在同步范围内的账户一次性全部推送到应用中。
IDaaS(EIAM) SCIM 支持情况
平台 | 是否支持 SCIM | 是否支持检索存量用户 | 存量用户是否支持变更 | 最终存量用户是否关联成功 |
阿里云 RAM | 支持 | 支持 | 不支持 | 不支持 |
阿里云 CoudSSO | 支持 | 不支持 | 不支持 | 支持(通过CloudSSO同名覆盖逻辑隐式支持) |
华为云IAM | 不支持 | |||
华为云 IAM身份中心 | 支持 | 支持 | 支持 | 支持 |
腾讯云CAM | 不支持 | |||
腾讯云集团管理 | 支持 | 支持 | 支持 | 支持(用户名不支持变更) |
火山引擎IAM | 不支持 | |||
火山引擎云身份中心 | 支持 | 不支持 | 不支持 | 不支持 |
AWS/国际站 IAM | 不支持 | |||
AWS/国际站 IAM Identity Center | 支持 | 支持 | 支持 | 支持 |