阿里云账号集成

前提条件

已完成组织创建，更多信息，请参见新建和管理组织。

配置阿里云身份源

云效支持绑定当前组织购买人的阿里云账号，并允许其 RAM 用户登录访问。

1. 使用组织管理员账号登录云效工作台（首次登录时，需要使用Root账号登录，如何获取Root账号密码，请参见新建组织）。

2. 在云效工作台页面，单击右上角用户头像，然后单击管理后台。

3. 在组织管理页面，单击身份源管理。然后选择阿里云，单击添加配置进入配置详情。

4. 配置 OAuth 应用。

   1. 创建OAuth 企业应用并获取应用凭证。

      注意：这一步需要在组织所属的阿里云 RAM 控制台完成操作。

      1. 使用当前组织实例购买人的阿里云账号登录RAM 控制台，单击OAuth应用（公测），然后单击创建应用。

         在创建应用页面，配置以下选项：

         • 输入应用名称和显示名称。

         • 应用类型选择Web应用： 指基于浏览器交互的网络应用。

         • 设置访问令牌有效期和刷新令牌有效期。

           • 访问令牌有效期范围：900秒（15分钟）~10,800秒（3小时）。默认值为3600秒。

           • 刷新令牌有效期范围：7200秒（2小时）~31,536,000秒（1年）。默认值为2,592,000秒。

         • 设置回调地址。注意必须填写云效中显示的登录回调地址。

         • 以上配置完成后，单击创建应用。

      2. 在企业应用列表中单击目标应用名称。然后单击添加 OAuth 范围，选择添加 aliuid 和 profile 两个字段的授权。完成后单击确定。

         • aliuid：获取阿里云颁发的唯一用户标志符 UID（包括 RAM 用户 UID 和所属主账号 UID）。

         • profile：获取登录用户的 RAM 用户名称（主账号访问获取登录名称，RAM 用户访问获取登录名 UPN 名称和显示名称）。

         

      3. 获取应用 ID和AppSecretValue的值。

         • 应用 ID：在企业应用列表中查看应用 ID 的值。

         • AppSecretValue：在应用详情页面，单击应用密钥，并单击创建密钥，即可生成 AppSecretValue。单击下载 CSV 文件，即可下载到本地，注意 AppSecretValue 仅展示一次，请妥善保存。

   2. 填写上一步获取的应用 ID的值和 AppSecretValue 的值。

5. 单击下一步，在开启服务步骤单击保存配置即可完成阿里云身份源集成。

   单点登录开启后，在云效登录页面中即可快速跳转阿里云登录页面，通过阿里云登录云效。

配置 RAM 用户登录云效

1. 配置阿里云身份源后，在身份源管理页面，切换登录方式为阿里云。

2. 配置后您可使用 RAM 用户通过阿里云登录云效工作台。

   重要

   • 该 RAM 用户与组织实例同属于一个阿里云账号，且应至少被授予AliyunRDCReadOnlyAccess权限。

     在阿里云云效控制台能看到当前组织即可，无需过高权限。如何授权请参见为 RAM 用户授权。

   • 该组织实例购买人的阿里云账号（主账号）和其它未授权的 RAM 用户都会被拒绝登录。

   • 该组织的 Root 账号访问依然可用，具体操作，请参见账号与登录。

移除阿里云身份源

1. 使用组织管理员账号登录云效工作台，单击右上角用户头像并在展开的菜单中单击管理后台。单击身份源管理。

2. 选择已绑定的阿里云身份源，单击查看详情。

3. 单击右上角移除集成，并在弹出的对话框中确认移除。

   重要

   移除阿里云集成后，将解除已有成员关联关系，且不支持其使用阿里云进行登录。

退出登录

RAM 用户/Root 用户从云效工作台退出登录时，阿里云账号的登录状态将同步失效。

会话持续时间和时长

会话持续时间以云效为准，若超过云效的登录保持时间，会退出云效，如需继续使用云效需要重新登录。