本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
在使用OIDC角色SSO时,需要创建身份提供商。
创建OIDC身份提供商
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在角色SSO页签,先单击OIDC页签,然后单击创建身份提供商。
在创建身份提供商页面,设置身份提供商信息。
参数
说明
身份提供商名称
同一个阿里云账号下必须唯一。
颁发者URL
颁发者URL由外部IdP提供。颁发者URL必须以
https开头,符合标准URL格式,但不允许带有query参数(以?标识)、fragment片段(以#标识)和登录信息(以@标识)。验证指纹
为了防止颁发者URL被恶意劫持或篡改,您需要配置外部IdP的HTTPS CA证书生成的验证指纹。
填写完颁发者URL后,您可以单击获取指纹,阿里云会辅助您自动计算出验证指纹,但是建议您在本地自己计算一次(例如:使用OpenSSL计算指纹),与阿里云计算的指纹进行对比。如果对比发现不同,则说明该颁发者URL可能已经受到攻击,请您务必再次确认,并填写正确的指纹。
说明当您的IdP计划进行证书轮转时,请在轮转前生成新证书的指纹并添加到阿里云OIDC身份提供商信息中,一段时间(至少一天)以后再进行证书轮转,证书轮转确认可以换取到STS Token后再删除旧的指纹。
客户端ID
您的应用在外部IdP注册的时候,会生成一个客户端ID(Client ID)。当您从外部IdP申请签发OIDC令牌(OIDC Token)时必须使用该客户端ID,签发出来的OIDC Token也会通过
aud字段携带该客户端ID。在创建OIDC身份提供商时配置该客户端ID,然后在使用OIDC Token换取STS Token时,阿里云会校验OIDC Token中aud字段所携带的客户端ID与OIDC身份提供商中配置的客户端ID是否一致。只有一致时,才允许扮演角色。如果您有多个应用需要访问阿里云,您可以配置多个客户端ID,但最多不能超过20个。
最早颁发时间限制
在该限制时间之前颁发的OIDC Token不允许换取STS Token。
默认值:12小时。取值范围:1~168小时。
备注
身份提供商的描述信息。
单击确定。
查看OIDC身份提供商信息
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在角色SSO页签,先单击OIDC页签,然后单击目标身份提供商名称。
在身份提供商信息区域,查看身份提供商名称、身份提供商类型、创建时间、更新时间、备注、ARN和颁发者URL。
修改OIDC身份提供商信息
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在角色SSO页签,先单击OIDC页签,然后单击目标身份提供商名称。
在身份提供商信息区域,单击备注右侧的编辑,修改备注信息。
在客户端ID区域,单击添加或删除,添加或删除客户端ID。
说明最多添加20个客户端ID。只有1个客户端ID时,无法删除。
在指纹区域,单击添加或删除,添加或删除验证指纹。
说明最多添加5个验证指纹。只有1个验证指纹时,无法删除。
删除OIDC身份提供商
删除OIDC身份提供商后,企业将无法与阿里云RAM进行OIDC角色SSO。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在角色SSO页签,先单击OIDC页签,然后单击目标OIDC身份提供商操作列的删除。
在删除身份提供商对话框,单击确定。