账户同步-应用同步给IDaaS
IDaaS支持作为SCIM Server服务端,通过SCIM协议(System for Cross-domain Identity Management,跨域身份管理系统)与应用进行账户和组数据的同步。SCIM协议旨在规范不同系统间的身份数据共享原则和接口定义,从而提升身份系统之间的互操作性(Interoperability)。
前提条件
您已开通并登录阿里云IDaaS控制台。
上游身份体系支持SCIM协议,并已准备好相关配置信息。
步骤一:创建应用
登录阿里云IDaaS控制台,选择IDaaS实例,单击访问控制台。
在左侧导航栏中,选择。
根据需求,创建标准协议或自研应用,单击添加应用按钮,
在弹出的对话框中,修改应用名称,单击立即添加。
步骤二:IDaaS与应用间账户同步
在应用列表中,找到创建的应用,单击名称进入应用详情页。
在顶部页签栏中,选择账户同步,设置同步范围。
单击应用同步到IDaaS页签,选择同步目标。
默认仅标准应用和自研应用支持同步到 IDaaS。
步骤三:配置SCIM参数
在应用同步到IDaaS页签进行参数配置。
根据提示,填写以下参数:
Bearer Token:用于身份验证的令牌,允许持有者访问受保护资源,无需重复提供登录凭证。在配置和管理上,Bearer Token与自定义域名中的proxy_token类似,需要手动创建并启用一个,最多可存在两个,最少保持一个启用状态。在删除前需先禁用,Bearer Token本质上属于凭证管理模块,与Client ID/Secret平级,创建时需要设置有效期以确保安全性。
说明点击添加Bearer Token,弹出Bearer Token有效期页面。新增时默认填充当前时间365天后,修改时默认显示已设置时间。有效期范围为1天至1095天(3年),超出范围时提示有效期需至少为1天/最多3年,请重新选择有效期。
SCIM Base URL:提供SCIM Client侧同步请求访问的base路径。示例:https://example.aliyunidaas.com。
接口授权:接口授权功能用于管理开放接口权限,显示已授权的 SCIM 接口。单击前往授权时,将跳转到API 开放页面。
开启API开放功能。勾选需要授权的SCIM API接口权限的相关功能场景,场景对应的接口将开放可调用,然后点击保存。
完成上述参数配置后,单击保存即可。
支持同步的字段
User:
SCIM字段 | IDaaS字段 | 说明 |
id | userId | 用户唯一ID |
userName | username | 用户名 |
displayName | displayName | 用户显示名称 |
phoneNumbers [type eq "work"] | phoneNumber | 手机号 若手机号带区号,前面必须加"+" 仅支持一个phoneNumber的存储,且type=work |
phoneRegion | phoneRegion | 手机号区号 若不填且手机号带区号则截取手机号中的区号; 若填写,且该字段与手机号中的区号不一致,则报错; 若不填且手机号未包含区号,则默认"86" |
emails [type eq "work"] | 仅支持一个email的存储,且type=work | |
externalId | userExternalId | 外部ID |
active | status | 用户状态 active=true时,status为enabled active=false时,status为disabled |
password | password | 密码,明文。若格式不正确则报错 |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User
| - | - |
organizationId | 账户所属组织的ID。 若无值,则账户放在同步目标下 若有值,则账户放在该组织下 |
Group:
SCIM字段 | IDaaS字段 | 说明 |
id | groupId | 组唯一ID |
displayName | groupName | 组名称 |
externalId | groupExternalId | 组外部ID |
members
| - | 组成员 |
- | 组成员类型,只支持User | |
userId | 用户唯一ID | |
- | 成员资源的完整URL |
相关文档
将上游应用通过SCIM配置到IDaaS,请参见:通过SCIM同步Azure AD用户、通过SCIM同步Okta用户或用户组。
通过SCIM将应用数据同步到IDaaS时,如果应用标准支持SCIM协议,完成配置后应用将自行调用IDaaS SCIM API,您无需手动调用。请参见:EIAM支持的SCIM 2.0接口。
企业可通过应用管理账号,并实时同步数据至IDaaS。请参见:账户数据同步。
IDaaS向企业开发者提供API,用于账户和组织信息的导入与同步,请参见:应用 API 开放。