进行OIDC角色SSO时,通过调用AssumeRoleWithOIDC接口,获取扮演RAM角色的临时身份凭证(STS Token)。
接口说明
前提条件
- 确保已从外部身份提供商(IdP)获取到 OIDC 令牌(OIDC Token)。
- 确保已在 RAM 中创建了 OIDC 身份提供商。具体操作,请参见创建 OIDC 身份提供商或 CreateOIDCProvider 。
- 确保已在 RAM 中创建了可信实体为 OIDC 身份提供商的 RAM 角色。具体操作,请参见创建可信实体为身份提供商的 RAM 角色或 CreateRole 。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
授权信息
当前API暂无授权信息透出。
请求参数
名称 | 类型 | 必填 | 描述 | 示例值 |
---|---|---|---|---|
OIDCProviderArn | string | 是 | OIDC 身份提供商的 ARN。 您可以通过 RAM 控制台或 API 查看 OIDC 身份提供商的 ARN。具体如下:
| acs:ram::113511544585****:oidc-provider/TestOidcIdp |
RoleArn | string | 是 | 需要扮演的 RAM 角色 ARN。 您可以通过 RAM 控制台或 API 查看角色 ARN。具体如下:
| acs:ram::113511544585****:role/testoidc |
OIDCToken | string | 是 | 由外部 IdP 签发的 OIDC 令牌(OIDC Token)。 长度:4~20000 个字符。 说明
需要输入原始 OIDC Token,无需 Base64 解码。
| eyJraWQiOiJKQzl3eHpyaHFKMGd0**** |
Policy | string | 否 | 为 STS Token 额外添加的一个权限策略,进一步限制 STS Token 的权限。具体如下:
长度:1~2048 个字符。 | {"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"} |
DurationSeconds | long | 否 | Token 有效期。单位:秒。 默认值:3600。最小值:900。最大值: 关于设置角色最大会话时间 | 3600 |
RoleSessionName | string | 是 | 角色会话名称。 该参数为用户自定义参数。通常设置为调用该 API 的用户身份,例如:用户名。在操作审计日志中,即使是同一个 RAM 角色执行的操作,也可以根据不同的 RoleSessionName 来区分实际操作者,以实现用户级别的访问审计。 格式:包含英文字母、数字、半角句号(.)、at(@)、短划线(-)和下划线(_)。 长度:2~64 个字符。 | TestOidcAssumedRoleSession |
说明
由于 AssumeRoleWithOIDC 接口使用 OIDC Token 进行身份认证,可以匿名访问,因此不需要提供公共请求参数中的
Signature
、SignatureMethod
、SignatureVersion
和AccessKeyId
参数。关于公共请求参数的详情,请参见公共请求参数。
返回参数
示例
正常返回示例
JSON
格式
{
"RequestId": "3D57EAD2-8723-1F26-B69C-F8707D8B565D",
"OIDCTokenInfo": {
"Subject": "KryrkIdjylZb7agUgCEf****",
"Issuer": "https://dev-xxxxxx.okta.com",
"ClientIds": "496271242565057****",
"ExpirationTime": "2021-10-20T04:27:09Z",
"IssuanceTime": "2021-10-20T03:27:09Z",
"VerificationInfo": "Success"
},
"AssumedRoleUser": {
"AssumedRoleId": "33157794895460****",
"Arn": "acs:ram::113511544585****:role/testoidc/TestOidcAssumedRoleSession"
},
"Credentials": {
"SecurityToken": "CAIShwJ1q6Ft5B2yfSjIr5bSEsj4g7BihPWGWHz****",
"Expiration": "2021-10-20T04:27:09Z",
"AccessKeySecret": "CVwjCkNzTMupZ8NbTCxCBRq3K16jtcWFTJAyBEv2****",
"AccessKeyId": "STS.NUgYrLnoC37mZZCNnAbez****"
}
}
错误码
访问错误中心查看更多错误码。
变更历史
变更时间 | 变更内容概要 | 操作 |
---|---|---|
2024-04-11 | API 内部配置变更,不影响调用 | 查看变更详情 |
2023-09-27 | OpenAPI 返回结构发生变更 | 查看变更详情 |