文档

账户同步 - SCIM

更新时间:

IDaaS 支持通过 SCIM 协议(作为 SCIM Client 客户端),由 IDaaS 将账户同步给应用(应用需支持作为 SCIM Server 服务端)。

SCIM(System for Cross-domain Identity Management,跨域身份管理系统,用于规范不同系统间的身份数据共享原则和接口定义,以增强身份系统之间的互用性(Interoperability)。

配置方式

在应用管理的【账户同步】标签下,管理员可以指定账户同步当时为【SCIM 协议】,实现通过 SCIM 协议将账户同步到支持 SCIM 协议的应用。

配置 SCIM 同步需要您在 IDaaS 和应用侧同时进行管理配置。以阿里云访问控制(RAM)或云 SSO(CloudSSO)应用为例,您可结合应用文档与本文档结合完成操作。如果您希望同步到其他应用,您需要检索到对应应用的 SCIM 同步启用文档,并结合本文档完成操作。

应用

文档

阿里云 RAM

通过SCIM协议将企业内部账号同步到阿里云RAM

阿里云 CloudSSO

启用或禁用SCIM同步

配置 SCIM 同步的方式和配置基于事件回调的【快捷模式】类似。您同样需要首先确认需要同步的节点范围,而后对 SCIM 的客户端参数进行配置。

参数说明如下:

新字段

说明

出口 IP

请将 IDaaS 出口 IP 在您的安全设置中加白,保障 IDaaS 请求可顺利抵达接收方。

SCIM Base URL

填写接收 SCIM 同步请求的客户端地址。

例如阿里云 RAM 的 SCIM Base URL应固定为:https://scim.aliyun.com

接口授权

不同的 SCIM 客户端可能要求不同的接口鉴权方式。IDaaS 支持【OAuth 客户端模式】和【密钥模式】两个选项,请参考客户端进行配置。

例如阿里云 RAM 支持 OAuth 客户端模式对 SCIM 请求进行鉴权,如下图:

操作调用

管理员可以选择性地订阅希望关注的变更事件,获取即时推送。

当 IDaaS 中发生了对应变更后,将会自动触发同步,将变更即时更新至应用中。

字段映射

用于展示和编辑 SCIM 同步过程中的字段映射关系。

image..png

在配置完成保存后,我们建议您通过【测试连接】功能检查配置是否正确。

若有需要,管理员可以通过【一键推送】功能,将在同步范围内的账户一次性全部推送到应用中。

注意事项

  • 当前仅支持账户同步,暂未实现组同步或组织同步。

  • 在进行 RAM 或 CloudSSO 应用 SCIM 同步时,由于阿里云 RAM 对大小写不敏感,为了避免冲突,账户字段值将全部转小写后同步到 RAM 中。

扩展参考

  • 本页导读 (0)
文档反馈