阿里云IDaaS致力于为云生态提供安全的身份服务,和诸多阿里云其他产品有不同程度的合作和对接。因此,IDaaS服务的稳定性、应用配置的稳定性对客户而言至关重要。
因此,我们基于资源“谁创建、谁管理、谁销毁”的原则,将应用资源的生命周期管理托管到云产品来负责,应用的创建、配置、管理、删除等均需要从云产品侧发起调用,在IDaaS中无法对该应用进行正常管理。
例如,在应用市场中,阿里云产品将作为生态伙伴得到优先展示,并无法在IDaaS中主动创建,必须前往云产品控制台创建,通过用户管理功能与IDaaS实例完成绑定,以此在IDaaS中创建出对应应用来。参照下图中阿里云RPA应用在IDaaS应用市场中的展示形式。
由于云产品应用的生命周期托管给了云产品本身,涉及的OpenAPI接口和对应功能也都具备权限区分限制,如果是普通用户尝试对云产品应用进行无权限操作,则返回如下错误码:InvalidOperation.ResourceManagedByCloudProduct,调用方需要对此错误进行识别。
具体权限分工参照下表:
操作描述 | OpenAPI | 您的阿里云账号 | 创建托管应用的云产品 |
更新应用名称和Logo | UpdateApplicationInfo | 不可操作 | 可以操作 |
更新应用描述信息 | UpdateApplicationDescription | 可以操作 | 可以操作 |
删除应用 | DeleteApplication | 不可操作 | 可以操作 |
启用应用 | EnableApplication | 不可操作 | 可以操作 |
禁用应用 | DisableApplication | 不可操作 | 可以操作 |
启用应用SSO功能 | EnableApplicationSso | 不可操作 | 可以操作 |
设置应用SSO配置 | SetApplicationSsoConfig | 不可操作 | 可以操作 |
禁用应用SSO功能 | DisableApplicationSso | 不可操作 | 可以操作 |
设置应用账户同步范围 | SetApplicationProvisioningScope | 不可操作 | 可以操作 |
设置应用账户同步配置 | SetApplicationProvisioningConfig | 不可操作 | 可以操作 |
禁用应用账户同步功能 | DisableApplicationProvisioning | 不可操作 | 可以操作 |
启用应用账户同步功能 | EnableApplicationProvisioning | 不可操作 | 可以操作 |
禁用应用DeveloperAPI调用功能 | DisableApplicationApiInvoke | 不可操作 | 可以操作 |
启用应用DeveloperAPI调用功能 | EnableApplicationApiInvoke | 不可操作 | 可以操作 |
设置应用DeveloperAPI操作接口功能范围 | SetApplicationGrantScope | 不可操作 | 可以操作 |
创建应用ClientSecret | CreateApplicationClientSecret | 不可操作 | 可以操作 |
删除应用ClientSecret | DeleteApplicationClientSecret | 不可操作 | 可以操作 |
获取应用ClientSecret | ObtainApplicationClientSecret | 不可操作 | 可以操作 |
启用应用ClientSecret | EnableApplicationClientSecret | 不可操作 | 可以操作 |
禁用应用ClientSecret | DisableApplicationClientSecret | 不可操作 | 可以操作 |
其它与Application相关能力、只读能力 | - | 可以操作 | 可以操作 |