联邦信任源管理

本文档详细介绍了在阿里云IDaaS管理控制台中配置联邦信任源的操作流程,包括PCA、OIDCPKCS#7三种信任源类型的参数说明及适用场景,帮助用户实现安全的身份联合认证管理。

操作步骤

  1. 登录IDaaS管理控制台,在左侧导航栏中,选择 EIAM 云身份服务 。选择对应的 IDaaS 实例,单击操作列的访问控制台image

  2. 单击登录 > 认证配置 > 联邦信任源管理 > 新增联邦信任源image

  3. 新增联邦信任源页面选择联邦信任源类型,根据实际需求选择信任源类型,如‌ PCA‌、‌OIDC‌ 或‌ PKCS#7‌。

    说明

    如需详细了解各联邦信任源的功能特性及应用场景,请参见:联邦信任源介绍

    image

  4. 选择完成后,单击下一步并填写以下配置参数。配置完成后,单击确定

    1. PCA:Private CA(Private Certificate Authority,私有证书颁发机构)是组织或企业内部自主运行的证书颁发机构(CA),用于签发和管理仅在内部网络或特定信任域内有效的数字证书,其 PCA 联邦信任源主要适用于个人开发电脑或配备可信平台模块(TPM,Trusted Platform Module)的实体。

      字段名

      描述

      联邦信任源名称

      名称支持小写字母、数字、下划线(_)及中横线(-),长度不得超过64个字符。

      联邦信任源类型

      PCA

      网络端点

      IDaaS将使用网络端点能力,访问PCA的根证书的吊销列表,确保根证书的有效性。共享端点为共享公网出口,如您已经购买了专属端点能力,可以使用专属端点能力。

      填写验签证书

      根证书内容为PEM格式,以“-----BEGIN CERTIFICATE-----”开头,以“-----END CERTIFICATE-----”结尾。根证书最多上传两张,用于后期进行根证书轮转。

      信任条件

      信任条件用于校验客户端调用M2M授权服务器Token端点时的入参,确保仅符合要求的请求可获取IDaaS颁发的Access Token;在PCA场景下,该条件会校验客户端证书内容,最大长度为10240字符。

      描述

      描述字段用于说明联邦信任源的作用,长度不超过128个字符。

    2. OIDC:OIDC(OpenID Connect)作为基于 OAuth 2.0 的身份验证协议,广泛适用于需与身份提供者开展联合身份验证的场景,尤其适用于部署在 Kubernetes Pod、GitHub Actions、CI/CD 流水线、Azure 虚拟机及 Google Cloud Compute Engine 等环境中的服务。

      字段名

      描述

      联邦信任源名称

      名称支持小写字母、数字、下划线(_)及中横线(-),长度不得超过64个字符。

      联邦信任源类型

      OIDC

      网络端点

      IDaaS使用网络端点能力,访问Issuer地址或者JWKs地址,动态解析地址获取验签公钥。共享端点为共享公网出口,如您已经购买了专属端点能力,可以使用专属端点能力。

      信任来源

      信任来源是指当前OIDC联邦信任源在解析用户传入的OIDC Token时,所使用的验签公钥的获取方式。当前的验签公钥获取方式为三种:静态填充,Issuer地址解析,验签公钥地址解析。

      • 当选择Issuer地址解析时:只需填写Issuer地址。

      • 当选择验签公钥地址解析时:需要填写验签公钥的获取地址。

      • 当选择静态填充时:需要手动在验签公钥字段填入公钥信息。

      Issuer

      请填写客户端调用IDaaS 授权服务器Token端点时,传入的OIDC TokenIssuer,Issuer只能时HTTPS协议,最长1024字符。

      重要

      Issuer 填写之后,无法更新,请谨慎检查。

      受众标识

      请填写客户端调用IDaaS 授权服务器Token端点时,传入的OIDC TokenAudience,受众标识最多支持5个,每个最长256字符。受众标识默认值为当前IDaaS实例域名地址,表示客户端签发的OIDC Token的受众方为IDaaS实例。如有修改需求,可以删除或修改。

      说明

      如果传入OIDC Token端点的Audience声明不是IDaaS实例域名,请修改该值,否则Token端点调用将失败。

      验签公钥

      当信任来源为静态填充时,需要填写该值。

      信任条件

      信任条件用于校验客户端调用M2M授权服务器Token端点时的入参(如OIDC Token内容),确保仅符合条件的请求能获取IDaaS颁发的Access Token,其中Issuer和受众标识为必填基础字段,最大长度限制为10240字符。

      描述

      描述字段用于说明联邦信任源的作用,长度不超过128个字符。

    3. PKCS#7:PKCS#7 作为公钥基础设施(PKI)中的基础标准,广泛应用于需保障数据完整性与机密性的场景,尤其适用于部署在阿里云 ECS、阿里云ECI、AWS EC2 等云厂商环境中的服务。

      字段名

      描述

      联邦信任源名称

      名称支持小写字母、数字、下划线(_)及中横线(-),长度不得超过64个字符。

      联邦信任源类型

      PKCS#7

      信任来源

      当客户端服务部署在阿里云 ECS 时选择阿里云类型,部署在亚马逊云 EC2 时选择亚马逊云类型。

      签名有效期

      签名有效期字段用于填写客户端调用 IDaaS 授权服务器 Token 端点时,传入的 PKCS#7 签名的有效期时间。阿里云默认有效期时间为3600秒。亚马逊云有效期时间为30天。

      获取签名时间的表达式

      该字段显示了 IDaaS 如何解析传入的 PKCS#7 签名的签名时间。该字段不允许修改。

      • 阿里云:pkcs7.payload.jsonData.audience.signingTime

      • 亚马逊云:pkcs7.signingTime

      填写验签证书

      请上传 PKCS#7 签名时使用的根证书。

      • 阿里云:当前阿里云全球使用同一份证书,IDaaS已经默认填入了阿里云根证书。

      • 亚马逊云:必须使用 RSA-2048 类型的根证书,其他类型(如PKCS#7)将无法通过验证。亚马逊云每个区域的根证书都不相同,请选择当前客户端服务部署的区域的根证书。如果服务部署在多个区域,可以上传多张根证书。详情请参考:实例身份文档签名的 AWS 公有证书

      云账户 ID

      请填写客户端服务部署的云服务器所属的云账号ID,最长128字符。

      实例标识签名对象

      默认为 IDaaS 的实例 ID。

      描述

      描述字段用于说明联邦信任源的作用,长度不超过128个字符。

  5. 完成对联邦信任源的创建之后,可以对联邦信任源进行管理,如状态启用或关闭,查看详细信息以及编辑等操作。

相关文档