AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 应用身份服务 (IDaaS) EIAM 云身份服务 操作指南 应用 开通应用 M2M应用(机器间权限管理) 创建联邦凭证

创建联邦凭证

更新时间:
产品详情
我的收藏

本文介绍了在阿里云 IDaaS 中创建和管理PCA、OIDC、PKCS#7的三种联邦凭证的完整操作流程,包括参数配置说明和通过授权服务器 Token 端点获取 Access Token 的具体方法。

操作步骤

  1. 登录IDaaS管理控制台,在左侧导航栏中,选择 EIAM 云身份服务 。选择对应的 IDaaS 实例,单击操作列的访问控制台image

  2. 单击应用 > 添加应用 > M2M应用 > 立即添加应用image

  3. 通用配置页签创建联邦凭证。定位到凭证管理栏,查看联邦凭证类型:PCA、OIDC、PKCS#7 的3个选项。image

    说明

    如需详细了解各联邦信任源的功能特性及应用场景,请参见:联邦信任源介绍

    1. 选择 PCA 凭证,单击新增联邦凭证,填写以下配置参数。填写完成后,单击确定

      字段

      说明

      联邦信任源

      选择一个已创建的PCA联邦信任源,若未创建,请参见:创建 PCA 信任源

      联邦凭证类型

      PCA

      联邦凭证名称

      当前联邦凭证名称填写后不能修改,请谨慎填写。支持的字符有:小写字母,数字,下划线(_),中横线(-)

      校验条件模式

      校验模式用于选择当前联邦凭证的校验条件是以何种方式生成的。当前支持证书模式和客户端证书字段表达式校验模式两种。

      • 证书模式:证书模式为快捷方式,如果用户只想校验客户端证书的公用名(CN),可以选择该模式。用户只需要填写客户端证书的CN值,IDaaS将自动生成表达式填入校验条件字段。

      • 客户端证书字段表达式校验模式:该模式为高级进阶模式,用户可以自定义表达式,用于校验客户端证书的多个字段。

      客户端证书公用名(CN)

      选择证书模式后,需要填写该值。

      校验条件(表达式)

      选择客户端证书字段表达式校验模式后,需要填写该值。该字段用于校验客户端调用M2M授权服务器Token端点时的入参,确保只有符合校验条件的特定入参才能获取IDaaS颁发的Access Token,在PCA联邦凭证场景下主要校验客户端证书内容,信任条件最长支持10240字符。

      说明

      在进行校验时,IDaaS将会首先校验PCA联邦信任源填写的信任条件,信任条件通过后,再校验PCA联邦凭证填写的校验条件。

      描述

      描述字段用于说明当前联邦凭证的用途,最大长度为128个字符。

      属性映射

      属性映射是联邦凭证的高级功能,用于自定义Access Token中的sub字段:当资源服务器启用自定义主体标识后,系统会将属性映射中配置的字段值表达式(客户端身份唯一标识)替换原sub字段内容,格式从<clientId>变更为<clientId>:<client:activeSubjectUrn>,其中<client:activeSubjectUrn>值为属性映射表达式计算结果。

    2. 选择 OIDC 凭证,单击新增联邦凭证,填写以下配置参数。填写完成后,单击确定

      字段

      说明

      联邦信任源

      选择一个已创建的 OIDC 联邦信任源,若未创建,请参见:创建 OIDC 信任源

      联邦凭证类型

      OIDC

      联邦凭证名称

      当前联邦凭证名称填写后不能修改,请谨慎填写。支持的字符有:小写字母,数字,下划线(_),中横线(-)

      校验条件模式

      校验模式用于选择当前联邦凭证的校验条件是以哪种方式生成的。

      • kubernetes模式:需要填写 Kubernetes 集群的命名空间服务账号主体标识字段。

        主体标识字段由 IDaaS 自动生成,格式为system:serviceaccount:<namespace>:<serviceaccount>。

      • 主体标识模式:需要填写从Kubernetes集群获取到的Serviceaccount Token中的sub字段值。

      • Claims字段表达式校验模式:该模式为高级进阶模式,您可以自定义表达式,用于校验Serviceaccount TokenClaims的多个字段。

      校验条件(表达式)

      该字段用于校验客户端调用M2M授权服务器Token端点时的入参,确保只有通过校验的特定入参可以获取到IDaaS颁发的Access Token。在OIDC的联邦凭证场景下,校验条件主要校验传入Token端点的Serviceaccount Token中的Claims,信任条件最长10240字符。

      描述

      描述字段用于说明当前联邦凭证的用途,最大长度为128个字符。

      属性映射

      属性映射是联邦凭证的高级功能,用于自定义Access Token中的sub字段:当资源服务器启用自定义主体标识后,系统会将属性映射中配置的字段值表达式(客户端身份唯一标识)替换原sub字段内容,格式从<clientId>变更为<clientId>:<client:activeSubjectUrn>,其中<client:activeSubjectUrn>值为属性映射表达式计算结果。

    3. 选择 PKCS#7 凭证,单击新增联邦凭证,填写以下配置参数。填写完成后,单击确定

      字段

      说明

      联邦信任源

      选择一个已创建的 PKCS#7 联邦信任源,若未创建,请参见:创建 PKCS#7 信任源

      联邦凭证类型

      PKCS#7

      联邦凭证名称

      当前联邦凭证名称填写后不能修改,请谨慎填写。支持的字符有:小写字母,数字,下划线(_),中横线(-)

      校验条件模式

      校验模式用于选择当前联邦凭证的校验条件是哪何种方式生成的。

      • 指定云服务器实例模式:用户只用填写阿里云ECS/ECI的实例ID,或者亚马逊云的EC2实例ID。IDaaS将自动生成相关表达式。

      • 签名值字段表达式校验模式:该模式为高级进阶模式,用户可以自定义表达式,用于校验PKCS#7签名中的字段。

      云服务器实例ID

      当选择指定云服务器实例模式时,需要填入想要校验的云服务器实例ID。

      校验条件(表达式)

      该字段用于校验客户端调用M2M授权服务器token端点时的入参,确保只有符合校验条件的特定参数才能获取IDaaS颁发的Access Token,在PKCS#7联邦凭证场景下主要校验签名字段,信任条件长度不得超过10240字符。

      描述

      描述字段用于说明当前联邦凭证的用途,最大长度为128个字符。

      属性映射

      属性映射是联邦凭证的高级功能,用于自定义Access Token中的sub字段:当资源服务器启用自定义主体标识后,系统会将属性映射中配置的字段值表达式(客户端身份唯一标识)替换原sub字段内容,格式从<clientId>变更为<clientId>:<client:activeSubjectUrn>,其中<client:activeSubjectUrn>值为属性映射表达式计算结果。

相关文档

上一篇:联邦信任源介绍下一篇:联邦凭证表达式的使用