本文为您介绍如何在阿里云 IDaaS 中通过 SCIM 同步账户至 RAM,以实现身份的自动化管理。
前提条件
您的阿里云账号或RAM用户有创建OAuth应用的权限。
您的阿里云账号或RAM用户有为ServerApp授权的权限,且您仅能给自己账号下的ServerApp授权。
步骤一:在RAM控制台创建OAuth应用并授权
使用阿里云账号登录RAM控制台。
在左侧导航栏,单击
。在企业应用页签,单击创建应用,创建OAuth应用。其中,应用类型选择Server应用。
单击步骤3创建的应用名称,在OAuth范围页签,单击添加OAuth范围。在弹出添加OAuth范围页面中,勾选/acs/scim,然后单击确定。
为OAuth应用授权。
在应用 OAuth 范围页签,单击授权。
在应用授权页面,选中阿里云跨域身份管理服务,然后单击授权。
在应用密钥页签,单击创建密钥,创建应用密钥。
步骤二:在IDaaS配置SCIM同步
在IDaaS实例控制台应用界面,单击添加应用进入应用市场 ,选择阿里云用户SSO应用模板进行添加。
切换至账户同步界面,开启IDaaS 同步到应用。
选择同步范围后单击保存。
填写
client_id
和client_secret
。client_id:在应用详情页应用ID处获取。
client_secret:在应用详情页下应用密钥页签处获取。
说明client_secret:若您需要更大配置灵活性,可以选择转换为标准SCIM模板。转换后,将可对更多参数进行编辑。
SCIM同步配置说明。
操作调用:管理员可订阅指定变更事件(如用户创建、更新、删除等),当IDaaS发生相关变更时,系统自动触发同步,实时推送至目标应用。
字段映射:支持自定义SCIM字段映射关系,根据业务需求灵活调整属性匹配规则,确保数据准确同步。
在配置完成保存后,我们建议您通过测试连接功能检查配置是否正确。
若有需要,管理员可以通过一键推送功能,将在同步范围内的账户一次性全部推送到RAM中。
步骤三:同步操作
单击一键推送后同步范围内账户会同步至RAM。