如何将应用同步给IDaaS_应用身份服务 (IDaaS)(IDaaS)-阿里云帮助中心

IDaaS支持作为SCIM Server服务端，通过SCIM协议（System for Cross-domain Identity Management，跨域身份管理系统）与应用进行账户和组数据的同步。SCIM协议旨在规范不同系统间的身份数据共享原则和接口定义，从而提升身份系统之间的互操作性（Interoperability）。

前提条件

您已开通并登录阿里云IDaaS控制台。
上游身份体系支持SCIM协议，并已准备好相关配置信息。

步骤一：创建应用

登录阿里云IDaaS控制台，选择IDaaS实例，单击访问控制台。
在左侧导航栏中，选择应用 > > 添加应用。
根据需求，创建标准协议或自研应用，单击添加应用按钮，
在弹出的对话框中，修改应用名称，单击立即添加。

步骤二：IDaaS与应用间账户同步

在应用列表中，找到创建的应用，单击名称进入应用详情页。
在顶部页签栏中，选择账户同步，设置同步范围。
单击应用同步到IDaaS页签，选择同步目标。

说明

默认仅标准应用和自研应用支持同步到 IDaaS。

步骤三：配置SCIM参数

在应用同步到IDaaS页签进行参数配置。
根据提示，填写以下参数：
- Bearer Token：用于身份验证的令牌，允许持有者访问受保护资源，无需重复提供登录凭证。在配置和管理上，Bearer Token与自定义域名中的proxy_token类似，需要手动创建并启用一个，最多可存在两个，最少保持一个启用状态。在删除前需先禁用，Bearer Token本质上属于凭证管理模块，与Client ID/Secret平级，创建时需要设置有效期以确保安全性。
  说明
  点击添加Bearer Token，弹出Bearer Token有效期页面。新增时默认填充当前时间365天后，修改时默认显示已设置时间。有效期范围为1天至1095天（3年），超出范围时提示有效期需至少为1天/最多3年，请重新选择有效期。
- SCIM Base URL：提供SCIM Client侧同步请求访问的base路径。示例：https://example.aliyunidaas.com。
- 接口授权：接口授权功能用于管理开放接口权限，显示已授权的 SCIM 接口。单击前往授权时，将跳转到API 开放页面。
开启API开放功能。勾选需要授权的SCIM API接口权限的相关功能场景，场景对应的接口将开放可调用，然后点击保存。
完成上述参数配置后，单击保存即可。

支持同步的字段

User:

SCIM字段	IDaaS字段	说明
id	userId	用户唯一ID
userName	username	用户名
displayName	displayName	用户显示名称
phoneNumbers [type eq "work"]	phoneNumber	手机号若手机号带区号，前面必须加"+" 仅支持一个phoneNumber的存储，且type=work
phoneRegion	phoneRegion	手机号区号若不填且手机号带区号则截取手机号中的区号；若填写，且该字段与手机号中的区号不一致，则报错；若不填且手机号未包含区号，则默认"86"
emails [type eq "work"]	email	仅支持一个email的存储，且type=work
externalId	userExternalId	外部ID
active	status	用户状态 active=true时，status为enabled active=false时，status为disabled
password	password	密码，明文。若格式不正确则报错
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User organization	-	-
	organizationId	账户所属组织的ID。若无值，则账户放在同步目标下若有值，则账户放在该组织下

Group:

SCIM字段	IDaaS字段	说明
id	groupId	组唯一ID
displayName	groupName	组名称
externalId	groupExternalId	组外部ID
members type value $ref	-	组成员
	-	组成员类型，只支持User
	userId	用户唯一ID
	-	成员资源的完整URL

账户同步-应用同步给IDaaS

前提条件

步骤一：创建应用

步骤二：IDaaS与应用间账户同步

步骤三：配置SCIM参数

支持同步的字段

User:

Group:

相关文档