在阿里云IDaaS中通过SCIM同步账户到阿里云RAM

本文为您介绍如何在阿里云 IDaaS 中通过 SCIM 同步账户至 RAM,以实现身份的自动化管理。

前提条件

  1. 您的阿里云账号或RAM用户有创建OAuth应用的权限。

  2. 您的阿里云账号或RAM用户有为ServerApp授权的权限,且您仅能给自己账号下的ServerApp授权。

步骤一:在RAM控制台创建OAuth应用并授权

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,单击OAuth应用(公测) > 企业应用

    image

  3. 企业应用页签,单击创建应用,创建OAuth应用。其中,应用类型选择Server应用

    imageimage

  4. 单击步骤3创建的应用名称,在OAuth范围页签,单击添加OAuth范围。在弹出添加OAuth范围页面中,勾选/acs/scim,然后单击确定

    image

  5. OAuth应用授权。

    1. 应用 OAuth 范围页签,单击授权

      image

    2. 应用授权页面,选中阿里云跨域身份管理服务,然后单击授权

      image

  6. 应用密钥页签,单击创建密钥,创建应用密钥。image

步骤二:在IDaaS配置SCIM同步

  1. IDaaS实例控制台应用界面,单击添加应用进入应用市场 ,选择阿里云用户SSO应用模板进行添加。

    image

  2. 切换至账户同步界面,开启IDaaS 同步到应用

    image

  3. 选择同步范围后单击保存

    image

  4. 填写client_idclient_secretimageclient_id在应用详情页应用ID处获取。

    client_secret在应用详情页下应用密钥页签处获取。image

    说明

    client_secret若您需要更大配置灵活性,可以选择转换为标准SCIM模板。转换后,将可对更多参数进行编辑。image

  5. SCIM同步配置说明。

    操作调用管理员可订阅指定变更事件(如用户创建、更新、删除等),当IDaaS发生相关变更时,系统自动触发同步,实时推送至目标应用。

    字段映射支持自定义SCIM字段映射关系,根据业务需求灵活调整属性匹配规则,确保数据准确同步。image

  6. 在配置完成保存后,我们建议您通过测试连接功能检查配置是否正确。

    image

若有需要,管理员可以通过一键推送功能,将在同步范围内的账户一次性全部推送到RAM中。

步骤三:同步操作

单击一键推送后同步范围内账户会同步至RAM。

image