配置SCIM密鑰和SAML簽名證書過期的報警通知
本文為您介紹如何通過配置審計和云監控實現云SSO的SCIM密鑰和SAML簽名證書過期事件的報警通知。
應用場景
SCIM密鑰過期
您在配置云SSO和企業IdP身份聯合的SCIM用戶同步時,需要創建SCIM密鑰。更多信息,請參見管理SCIM密鑰。
該密鑰的有效期為一年,密鑰過期后SCIM同步將會中斷。因此,您需要提前創建新的密鑰進行輪換。為保證您的同步設置持續有效,您可以通過配置審計合規規則設置SCIM密鑰過期規則,通過云監控進行報警通知,提前輪換密鑰。
SAML簽名證書過期
您在配置云SSO和企業IdP的身份聯合SSO單點登錄時,需要上傳企業IdP的元數據文件,其中包含IdP的SAML簽名證書信息,云SSO通過元數據文件獲取到該證書的有效期。更多信息,請參見管理單點登錄。
若SAML簽名證書過期,SSO單點登錄將失敗,用戶無法通過云SSO登錄阿里云。因此,您需要在證書過期前在IdP創建新的證書進行輪換。您可以通過配置審計合規規則設置SAML簽名證書過期規則,通過云監控進行報警通知,提前輪換證書。
操作步驟
使用云SSO管理員完成以下操作。
步驟一:在配置審計中創建合規規則
登錄配置審計控制臺。
單擊立即啟用,開通配置審計。
說明如果您已開通配置審計,可以跳過該步。
創建合規規則。
在左側導航欄,選擇
。在規則頁面,單擊新建規則。
在選擇創建方式頁面,先選擇基于模板創建,然后從模板中選擇規則,再單擊下一步。
規則模板選擇云SSO SCIM密鑰過期檢查或云SSO SAML簽名證書過期檢查。
在設置基本屬性頁面,設置規則的基本屬性,然后單擊下一步。
在參數設置區域,輸入過期前多少天視為不合規,默認值為90天,您可以根據需要修改。
其他屬性保持默認。
在設置生效范圍頁面,查看默認選中的資源類型,然后單擊下一步。
在設置修正頁面,單擊提交。
您可以打開設置修正開關,根據控制臺提示,設置模板修正或自定義修正。關于如何設置修正,請參見修正設置概述。
步驟二:在云監控中創建報警
登錄云監控控制臺。
創建報警聯系人。
具體操作,請參見創建報警聯系人。
創建報警聯系組。
具體操作,請參見創建報警聯系人組。
創建訂閱策略。
配置審計將所有不合規事件投遞到云監控后,您可以根據所需創建系統事件訂閱策略,接收不合規事件的報警通知。
在左側導航欄,選擇 。
在訂閱策略頁簽,單擊創建訂閱策略。
在創建訂閱策略頁面,設置訂閱策略的相關參數。
基本信息:輸入訂閱策略名稱。
報警訂閱:訂閱類型選擇系統事件,訂閱范圍中的產品選擇配置審計、事件類型選擇通知、事件名稱選擇不合規事件、事件等級選擇通知和事件內容輸入Critical,應用分組和事件資源均不設置。
說明關于配置審計支持的系統事件,請參見配置審計。
合并降噪:使用默認值。
通知:創建通知配置,自定義通知方式使用默認通知方式。
創建通知配置時,先輸入通知配置名稱,再選擇通知設置為直接設置通知組,然后選擇報警聯系組,最后單擊確定。
說明關于如何創建通知配置,請參見創建通知配置策略。
系統自動根據報警組中報警聯系人的通知方式發送報警通知,例如:報警聯系人中設置了手機號碼和郵箱,自定義通知方式使用默認通知方式,則報警聯系人只會收到報警電話、短信和郵件。
推送與集成:無需配置。
單擊確定。