本文以钉钉为例,演示如何把企业已有的钉钉组织架构作为 Agent ID Guard 的入站身份源,使钉钉员工可以直接以本人身份登录 Agent 应用并调用 Agent 服务,权限和组织架构与钉钉保持一致。
前提条件
已开通阿里云 IDaaS(EIAM 2.0)实例,并开通机器身份管理能力。
当前操作者是 IDaaS 实例管理员,且为企业钉钉的主管理员。
已按照基于 IDaaS 的 Agent 身份安全最佳实践部署 Agent 服务样例,或其他已部署的 Agent 服务已在 Agent ID Guard 完成 Agent 身份注册,其 Agent 客户端访问地址能够跳转到 IDaaS 进行登录认证。
步骤一:在 IDaaS 添加钉钉身份提供方
登录 IDaaS EIAM 控制台,单击 身份源 > 入方向 > 添加入方向
选择钉钉 - 入方向(三方应用),单击添加。
在绑定配置页面,使用默认配置即可。如有其他需求,可参考绑定钉钉自行配置。
单击下一步,进入扫码开通。页面展示二维码,由钉钉主管理员使用钉钉 App 扫码确认开通 IDaaS 三方应用。
扫码开通完成后进入扫码绑定,按页面提示完成绑定。
步骤二:钉钉账户同步到 IDaaS
绑定完成后,若在绑定配置中勾选了触发一次全量同步,IDaaS 会自动执行一次全量通讯录同步。
单击左侧菜单栏身份源 > 入方向,确认新增了一条钉钉入方向的身份提供方。
单击左侧菜单栏账户,查看组织架构下是否已有按部门结构导入的记录。
步骤三:在 Agent 详情页配置 SSO 授权
如尚未注册 Agent 身份,请先进入 Agent 身份安全模块,按照Agent 身份安全配置指导配置好 Agent 身份。
SSO授权是账户与客户端之间的连线,用于控制哪些账户、组或组织可以通过该客户端登录。
登录 IDaaS EIAM 控制台。
单击 Agent身份安全,进入 Agent ID 身份安全列表页。
找到目标 Agent,单击操作列的编辑,进入已注册的 Agent 详情页。页面展示 Agent 身份配置拓扑图。
单击 SSO授权,在右侧弹出的SSO授权对话框中,单击添加授权。
在弹出的窗口中,选择授权主体类型:账户、组或组织机构,勾选需要授权的具体对象(例如从钉钉同步的组织机构),单击确定完成添加。
步骤四:SSO 登录验证
打开浏览器,访问Agent 客户端访问地址。
尚未登录时,页面将跳转到 IDaaS 统一登录页。在其他登录方式中选择刚添加的钉钉应用。
使用钉钉扫码完成认证,成功后自动跳回 Agent 客户端。