创建可信实体为身份提供商的RAM角色

更新时间:2025-02-27 02:10:31

可信实体是身份提供商的RAM角色,主要用于实现企业IdP与阿里云的单点登录(角色SSO)。该RAM角色允许可信的身份提供商下的用户扮演。

创建SAML身份提供商的RAM角色

在基于SAML 2.0的角色SSO(单点登录)场景下,您需要创建可信实体为SAML身份提供商的RAM角色。

前提条件

请确保您已创建了SAML身份提供商。具体操作,请参见管理SAML身份提供商

操作步骤

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击创建角色

    image

  4. 创建角色页面的右上角,单击切换编辑器

    image

  5. 在编辑器中指定具体的SAML身份提供商。

    编辑器支持可视化编辑和脚本编辑两种模式,您可以任选其一。

    • 可视化编辑

      主体中指定具体的SAML身份提供商。

      image

      image

    • 脚本编辑

      PrincipalFederated字段中指定具体的SAML提供商,同时配置Condition

      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Federated": "acs:ram::100*******0719:saml-provider/Azure-AD"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
              "StringEquals": {
                "saml:recipient": [
                  "https://signin.aliyun.com/saml-role/sso"
                ]
              }
            }
          }
        ]
      }
  6. 在编辑器中设置限制条件。

    支持的服务级条件关键字如下表所示:

    限制条件关键字

    说明

    是否必选

    示例

    限制条件关键字

    说明

    是否必选

    示例

    saml:recipient

    阿里云通过检查该元素的值来确保阿里云是该SAML断言的目标接收方。

    固定取值https://signin.aliyun.com/saml-role/sso

  7. 创建角色对话框,输入角色名称,然后单击确定

创建OIDC身份提供商的RAM角色

在基于OIDC的角色SSO(单点登录)场景下,您需要创建可信实体为OIDC身份提供商的RAM角色。

前提条件

请确保您已创建了OIDC身份提供商。具体操作,请参见创建OIDC身份提供商

操作步骤

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击创建角色

    image

  4. 创建角色页面的右上角,单击切换编辑器

    image

  5. 在编辑器中指定具体的OIDC身份提供商。

    编辑器支持可视化编辑和脚本编辑两种模式,您可以任选其一。

    • 可视化编辑

      主体中指定具体的OIDC身份提供商。

      image

      image

    • 脚本编辑

      PrincipalFederated字段中指定具体的OIDC提供商,同时配置Condition

      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Federated": "acs:ram::100*******0719:oidc-provider/xiyun****"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
              "StringEquals": {
                "oidc:iss": [
                  "https://dev-xxxxxx.okta.com"
                ],
                "oidc:aud": [
                  "0oa294vi1vJoClev****"
                ]
              }
            }
          }
        ]
      }
  6. 在编辑器中设置限制条件。

    支持的服务级限制条件如下表所示:

    限制条件关键字

    说明

    是否必选

    示例

    限制条件关键字

    说明

    是否必选

    示例

    oidc:iss

    OIDC颁发者(Issuer)。用来扮演角色的OIDC令牌中的iss字段值必须满足该限制条件要求,角色才允许被扮演。

    该限定条件必须使用StringEquals作为条件操作类型,条件值只能是您在OIDC身份提供商中填写的颁发者URL。该限制条件用于确保只有受信颁发者颁发的OIDC令牌才能扮演角色。

    https://dev-xxxxxx.okta.com

    oidc:aud

    OIDC受众(Audience)。用来扮演角色的OIDC令牌中的aud字段值必须满足该限制条件要求,角色才允许被扮演。

    该限定条件必须使用StringEquals作为条件操作类型,您可选择在OIDC身份提供商中配置的一个或多个客户端ID(Client ID)作为条件值。该限制条件用于确保只有您设置的Client ID生成的OIDC令牌才能扮演角色。

    0oa294vi1vJoClev****

    oidc:sub

    OIDC主体(Subject)。用来扮演角色的OIDC令牌中的sub字段值必须满足该限制条件要求时,角色才允许被扮演。

    该限定条件可以使用任何String类的条件操作类型,且您可以最多设置10OIDC主体作为条件值。该限制条件用于进一步限制允许扮演角色的身份主体,您也可以不指定该限制条件。

    00u294e3mzNXt4Hi****

  7. 创建角色对话框,输入角色名称,然后单击确定

后续步骤

创建成功的RAM角色默认没有任何权限,您需要为该RAM角色授权。具体操作,请参见RAM角色授权

  • 本页导读 (1)
  • 创建SAML身份提供商的RAM角色
  • 前提条件
  • 操作步骤
  • 创建OIDC身份提供商的RAM角色
  • 前提条件
  • 操作步骤
  • 后续步骤
  • 相关文档
AI助理

点击开启售前

在线咨询服务

你好,我是AI助理

可以解答问题、推荐解决方案等