账户同步-应用同步给IDaaS

更新时间: 2025-04-07 16:38:42

IDaaS支持作为SCIM Server服务端,通过SCIM协议(System for Cross-domain Identity Management,跨域身份管理系统)与应用进行账户和组数据的同步。SCIM协议旨在规范不同系统间的身份数据共享原则和接口定义,从而提升身份系统之间的互操作性(Interoperability)。

前提条件

  • 您已开通并登录阿里云IDaaS控制台。

  • 上游身份体系支持SCIM协议,并已准备好相关配置信息。

步骤一:创建应用

  1. 登录阿里云IDaaS控制台,选择IDaaS实例,单击访问控制台

  2. 在左侧导航栏中,选择应用 > > 添加应用

  3. 根据需求,创建标准协议自研应用,单击添加应用按钮,

  4. 在弹出的对话框中,修改应用名称,单击立即添加

步骤二:IDaaS与应用间账户同步

  1. 在应用列表中,找到创建的应用,单击名称进入应用详情页。

  2. 在顶部页签栏中,选择账户同步,设置同步范围

    image

  3. 单击应用同步到IDaaS页签,选择同步目标image

说明

默认仅标准应用和自研应用支持同步到 IDaaS。

步骤三:配置SCIM参数

  1. 应用同步到IDaaS页签进行参数配置。

  2. 根据提示,填写以下参数:

    • Bearer Token:用于身份验证的令牌,允许持有者访问受保护资源,无需重复提供登录凭证。在配置和管理上,Bearer Token与自定义域名中的proxy_token类似,需要手动创建并启用一个,最多可存在两个,最少保持一个启用状态。在删除前需先禁用,Bearer Token本质上属于凭证管理模块,与Client ID/Secret平级,创建时需要设置有效期以确保安全性。image

      说明

      点击添加Bearer Token,弹出Bearer Token有效期页面。新增时默认填充当前时间365天后,修改时默认显示已设置时间。有效期范围为1天至1095天(3年),超出范围时提示有效期需至少为1天/最多3年,请重新选择有效期

    • SCIM Base URL:提供SCIM Client侧同步请求访问的base路径。示例:https://example.aliyunidaas.com。

    • 接口授权:接口授权功能用于管理开放接口权限,显示已授权的 SCIM 接口。单击前往授权时,将跳转到API 开放页面。

  3. 开启API开放功能。勾选需要授权的SCIM API接口权限的相关功能场景,场景对应的接口将开放可调用,然后点击保存imageimage

  4. 完成上述参数配置后,单击保存即可

支持同步的字段

User:

SCIM字段

IDaaS字段

说明

id

userId

用户唯一ID

userName

username

用户名

displayName

displayName

用户显示名称

phoneNumbers [type eq "work"]

phoneNumber

手机号

若手机号带区号,前面必须加"+"

仅支持一个phoneNumber的存储,且type=work

phoneRegion

phoneRegion

手机号区号

若不填且手机号带区号则截取手机号中的区号;

若填写,且该字段与手机号中的区号不一致,则报错;

若不填且手机号未包含区号,则默认"86"

emails [type eq "work"]

email

仅支持一个email的存储,且type=work

externalId

userExternalId

外部ID

active

status

用户状态

active=true时,status为enabled

active=false时,status为disabled

password

password

密码,明文。若格式不正确则报错

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User

  • organization

-

-

organizationId

账户所属组织的ID。

若无值,则账户放在同步目标下

若有值,则账户放在该组织下

Group:

SCIM字段

IDaaS字段

说明

id

groupId

组唯一ID

displayName

groupName

组名称

externalId

groupExternalId

组外部ID

members

  • type

  • value

  • $ref

-

组成员

-

组成员类型,只支持User

userId

用户唯一ID

-

成员资源的完整URL

相关文档

上一篇: IDaaS同步到应用-SCIM 下一篇: 应用 API 开放
阿里云首页 应用身份服务 (IDaaS) 相关技术圈