配置IDaaS与火山引擎云身份中心实现单点登录及账户同步-应用身份服务-阿里云

本文档介绍阿里云 IDaaS 与火山引擎云身份中心的单点登录配置流程，涵盖 IDaaS 应用配置、上传 IdP 元数据至火山引擎云身份中心及单点登录的验证，以及实现从IDaaS账户向火山引擎云身份中心的账户自动化同步。

重要

火山引擎 SCIM 同步接口具备限流保护机制。当短时间内并发请求数量超过阈值时，将自动触发限流保护。如遇限流，请联系火山引擎技术支持，申请下线相应限流策略。

前提条件

创建应用
1. 登录IDaaS管理控制台，在左侧导航栏中，选择 EIAM 云身份服务 。选择对应的 IDaaS 实例，单击操作列的访问控制台。
2. 单击应用 > 添加应用，搜索火山引擎云身份中心，单击添加应用。
3. 确认应用名称后，单击立即添加。
配置单点登录参数。在登录访问 > 单点登录页签配置火山引擎云身份中心相关参数。
1. 单点登录配置：启用单点登录。
2. 火山引擎云身份中心 ACS URL：填写火山引擎云身份中心提供的 ACS URL。
3. 火山引擎云身份中心 Entity ID：填写火山引擎云身份中心提供的 Entity ID。
4. 应用账户：选择应用账户。
5. 授权范围：根据实际需求选择手动授权或全员可访问。
获取身份提供商信息。在应用配置信息栏下载IdP 元数据，用于配置火山引擎云身份中心的身份提供商信息。
分配用户访问权限。在应用账户下添加访问用户信息。
重要
确保 IDaaS 应用的用户名与火山引擎云身份中心的用户名一致。

登录火山引擎云身份中心，单击用户管理 > 用户登录设置 。
在SSO 登录设置中。
1. 获取服务提供商信息 ACS URL 和 Entity ID，分别填入 IDaaS 中的火山引擎云身份中心应用。
2. 身份提供商信息：上传在 IDaaS 下载的IdP 元数据文件。上传完成后，系统将自动开启 SSO 登录功能。

完成 SSO 登录配置后，您可以从 IDaaS 用户门户侧发起 SSO 登录。

在火山引擎云身份中心应用下切换至账户同步页签，开启IDaaS同步到应用并设置同步范围。
填写密钥信息。在基础配置页签，填写步骤一获取的SCIM 端点和Bearer Token。
操作调用。您可以选择性地订阅关注的变更事件，获取即时推送。当IDaaS同步范围内的用户发生对应变更时，系统将自动触发同步并实时更新至应用中。
说明
由于应用的 SCIM 接口未完全遵循标准协议实现，用户组详情接口无法返回组成员信息，因此在移除用户组成员时，不支持通过同步方式完成操作。
字段映射。用于展示和编辑SCIM同步过程中的字段映射关系，您可以根据实际需求进行更改。
映射标识。映射标识是SCIM filter查询可用的字段列表，一般与协议标准及业务字段相互对应，通常无需修改。
测试连接。在配置完成保存后，建议您通过测试连接功能检查配置是否正确。
一键推送。管理员可以通过一键推送功能，将在同步范围内的账户一次性全部推送到腾讯云集团账号管理。

IDaaS侧验证。
单击一键推送后，同步范围内账户会同步至腾讯云集团账号管理。如果推送成功后系统会提示任务成功，您可以前往日志 > 同步日志 > 任务执行中查看日志。
火山引擎验证。
在火山引擎左侧导航栏，用户管理 > 用户查看IDaaS账户同步的目标账户，创建方式列会显示同步。