IDaaS支持通过SCIM协议(作为SCIM Client客户端),由IDaaS将账户同步给应用(应用需支持作为SCIM Server服务端)。SCIM(System for Cross-domain Identity Management,跨域身份管理系统,用于规范不同系统间的身份数据共享原则和接口定义,以增强身份系统之间的互用性(Interoperability)。
注意事项
SCIM规范并不支持组织同步,当前IDaaS EIAM不支持同步组织机构到下游;
IDaaS EIAM当前同时支持组和账号同步,但实际能否同步到下游应用取决于该应用的对接能力。当前阿里云RAM仅支持账户同步,阿里云Cloud SSO支持账户和组同步。
在进行RAM或Cloud SSO应用SCIM同步时,由于阿里云RAM对大小写不敏感,为了避免冲突,账户字段值将全部转小写后同步到RAM中。
配置方式
在应用管理的账户同步标签下,管理员可以选择SCIM协议作为同步方式,实现通过SCIM协议将账户同步到支持SCIM协议的应用。
配置SCIM同步需要您在IDaaS和应用侧同时进行管理配置。以阿里云访问控制(RAM)或云SSO(CloudSSO)应用为例,您可结合应用文档与本文档完成操作。如果您希望同步到其他应用,您需要检索到对应应用的SCIM同步启用文档,并结合本文档完成操作。
应用 | 文档 |
应用 | 文档 |
阿里云 RAM | |
阿里云 CloudSSO |
配置SCIM同步的方式和配置基于事件回调的快捷模式类似。首先需指定同步的节点范围,然后配置 SCIM 客户端参数。
参数说明如下:
新字段 | 说明 |
新字段 | 说明 |
出口IP | 请将IDaaS出口IP在您的安全设置中加白,保障IDaaS请求可顺利抵达接收方。 |
SCIM Base URL | 填写接收SCIM同步请求的客户端地址。 例如阿里云RAM的SCIM Base URL应固定为:SCIM Base URL固定地址。 |
接口授权 | 不同的SCIM客户端可能要求不同的接口鉴权方式。IDaaS支持OAuth客户端模式和密钥模式两个选项,请参考客户端进行配置。 例如阿里云RAM支持OAuth客户端模式对SCIM请求进行鉴权,如下图:
|
操作调用 | 管理员可以选择性地订阅希望关注的变更事件,获取即时推送。 当IDaaS中发生了对应变更后,将会自动触发同步,将变更即时更新至应用中。
操作调用的事件对增量同步和全量同步均生效。 |
全量推送范围 | 当进行一键推送(即全量同步)时,只会推送该应用同步范围内的、全量推送范围所选数据类型的数据到下游应用。例如只推送账户数据。
全量推送范围仅对全量同步生效,增量同步不生效。 |
字段映射 | 用于展示和编辑SCIM同步过程中的字段映射关系。
|
在配置完成保存后,我们建议您通过测试连接功能检查配置是否正确。
若有需要,管理员可以通过一键推送功能,将在同步范围内的账户一次性全部推送到应用中。
扩展参考
- 本页导读 (1)
- 注意事项
- 配置方式
- 扩展参考
