使用CreateOIDCProvider API创建OIDC身份供应商-访问控制-阿里云-访问控制(RAM)-阿里云帮助中心

调用CreateOIDCProvider创建OIDC身份提供商，配置阿里云与外部身份提供商（IdP）的信任关系。

接口说明

前提条件

调用前，请提前从外部 IdP（例如：Google G Suite 或 Okta 等）获取颁发者 URL、HTTPS CA 证书的验证指纹和客户端 ID 等信息。

使用限制

一个阿里云账号中可创建的 OIDC 身份提供商最大个数：100 个。
一个 OIDC 身份提供商中的客户端 ID 最大个数：50 个。
一个 OIDC 身份提供商中的验证指纹最大个数：5 个。

使用说明

本文将提供一个示例，创建一个名为TestOIDCProvider的身份提供商，配置外部 IdP 与阿里云的信任关系。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作

访问级别

资源类型

条件关键字

关联操作

ram:CreateOIDCProvider

create

*全部资源

*

ram:OidcIssuerUrl

无

请求参数

名称	类型	必填	描述	示例值
OIDCProviderName	string	否	OIDC 身份提供商的名称。格式：允许英文字母、数字、特殊字符`.-_`，不能以特殊字符`.-_`开头或结尾。长度：最大 128 个字符。	TestOIDCProvider
IssuerUrl	string	否	颁发者 URL。由外部 IdP 提供。同一个阿里云账号下必须唯一。格式：该 URL 必须以`https`开头，符合标准 URL 格式，不允许带有 query 参数（以`?`标识）、fragment 片段（以`#`标识）和登录信息（以`@`标识）。长度：最大 255 个字符。	https://xxxxxx.example.com
Description	string	否	OIDC 身份提供商的描述。长度：最大 256 个字符。	This is an OIDC Provider.
ClientIds	string	否	客户端 ID。由外部 IdP 提供。多个之间用半角逗号（,）分隔。格式：允许英文字母、数字、特殊字符`.-_:/`，不能以特殊字符`.-_:/`开头。长度：单个客户端 ID 最大 128 个字符。	498469743454717****
Fingerprints	string	否	HTTPS CA 证书的验证指纹。由外部 IdP 提供。多个之间用半角逗号（,）分隔。格式：允许英文字母和数字。长度：单个验证指纹最大 128 个字符。	902ef2deeb3c5b13ea4c3d5193629309e231****
IssuanceLimitTime	integer	否	允许外部 IdP 颁发 ID Token 的最早签发时间。ID Token 中的 iat 字段如果距离当前时间大于这个值则请求会被拒绝。单位：小时。取值范围：1~168。	6

关于公共请求参数的详情，请参见公共参数。

返回参数

名称	类型	描述	示例值
	object	返回结果。
RequestId	string	请求 ID。	64B11B41-636D-51E3-A39B-C8703CD2218C
OIDCProvider	object	OIDC 身份提供商信息。
UpdateDate	string	修改时间（UTC 时间）。	2021-11-11T06:56:03Z
Description	string	OIDC 身份提供商的描述。	This is an OIDC Provider.
OIDCProviderName	string	OIDC 身份提供商的名称。	TestOIDCProvider
CreateDate	string	创建时间（UTC 时间）。	2021-11-11T06:56:03Z
Arn	string	OIDC 身份提供商的 ARN。	acs:ram::177242285274****:oidc-provider/TestOIDCProvider
IssuerUrl	string	颁发者 URL。	https://xxxxxx.example.com
Fingerprints	string	HTTPS CA 证书的验证指纹。	902ef2deeb3c5b13ea4c3d5193629309e231****
ClientIds	string	客户端 ID。	498469743454717****
GmtCreate	string	创建时间（时间戳）。	1636613763000
GmtModified	string	修改时间（时间戳）。	1636613763000
IssuanceLimitTime	integer	允许外部 IdP 颁发 ID Token 的最早签发时间。ID Token 中的 iat 字段如果距离当前时间大于这个值则请求会被拒绝。单位：小时。取值范围：1~168。	6

示例

正常返回示例

JSON格式

{
  "RequestId": "64B11B41-636D-51E3-A39B-C8703CD2218C",
  "OIDCProvider": {
    "UpdateDate": "2021-11-11T06:56:03Z",
    "Description": "This is an OIDC Provider.",
    "OIDCProviderName": "TestOIDCProvider",
    "CreateDate": "2021-11-11T06:56:03Z",
    "Arn": "acs:ram::177242285274****:oidc-provider/TestOIDCProvider",
    "IssuerUrl": "https://xxxxxx.example.com",
    "Fingerprints": "902ef2deeb3c5b13ea4c3d5193629309e231****",
    "ClientIds": "498469743454717****",
    "GmtCreate": "1636613763000",
    "GmtModified": "1636613763000",
    "IssuanceLimitTime": 6
  }
}

错误码

访问错误中心查看更多错误码。

变更历史

更多信息，参考变更详情。