創(chuàng)建可信實(shí)體為身份提供商的RAM角色
可信實(shí)體為身份提供商的RAM角色主要用于實(shí)現(xiàn)企業(yè)IdP與阿里云的單點(diǎn)登錄(角色SSO)。該RAM角色允許可信的身份提供商下的用戶扮演。
前提條件
請(qǐng)確保您已創(chuàng)建了身份提供商:
SAML身份提供商:具體操作,請(qǐng)參見(jiàn)管理SAML身份提供商。
OIDC身份提供商:具體操作,請(qǐng)參見(jiàn)創(chuàng)建OIDC身份提供商。
創(chuàng)建SAML身份提供商的RAM角色
在基于SAML 2.0的角色SSO(單點(diǎn)登錄)場(chǎng)景下,您需要?jiǎng)?chuàng)建可信實(shí)體為SAML身份提供商的RAM角色。
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇 。
在角色頁(yè)面,單擊創(chuàng)建角色。
在創(chuàng)建角色頁(yè)面,選擇可信實(shí)體類(lèi)型為身份提供商,然后單擊下一步。
輸入角色名稱(chēng)和備注。
選擇身份提供商類(lèi)型為SAML。
選擇身份提供商并查看限制條件。
說(shuō)明目前只支持一個(gè)條件關(guān)鍵字
saml:recipient
,必選且不能修改。單擊完成。
單擊關(guān)閉。
創(chuàng)建OIDC身份提供商的RAM角色
在基于OIDC的角色SSO(單點(diǎn)登錄)場(chǎng)景下,您需要?jiǎng)?chuàng)建可信實(shí)體為OIDC身份提供商的RAM角色。
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇 。
在角色頁(yè)面,單擊創(chuàng)建角色。
在創(chuàng)建角色頁(yè)面,選擇可信實(shí)體類(lèi)型為身份提供商,然后單擊下一步。
輸入角色名稱(chēng)和備注。
選擇身份提供商類(lèi)型為OIDC。
選擇身份提供商并設(shè)置限制條件。
支持的限制條件如下表所示:
限制條件關(guān)鍵字
說(shuō)明
是否必選
示例
oidc:iss
OIDC頒發(fā)者(Issuer)。用來(lái)扮演角色的OIDC令牌中的iss字段值必須滿足該限制條件要求,角色才允許被扮演。
該限定條件必須使用StringEquals作為條件操作類(lèi)型,條件值只能是您在OIDC身份提供商中填寫(xiě)的頒發(fā)者URL。該限制條件用于確保只有受信頒發(fā)者頒發(fā)的OIDC令牌才能扮演角色。
是
https://dev-xxxxxx.okta.com
oidc:aud
OIDC受眾(Audience)。用來(lái)扮演角色的OIDC令牌中的aud字段值必須滿足該限制條件要求,角色才允許被扮演。
該限定條件必須使用StringEquals作為條件操作類(lèi)型,您可選擇在OIDC身份提供商中配置的一個(gè)或多個(gè)客戶端ID(Client ID)作為條件值。該限制條件用于確保只有您設(shè)置的Client ID生成的OIDC令牌才能扮演角色。
是
0oa294vi1vJoClev****
oidc:sub
OIDC主體(Subject)。用來(lái)扮演角色的OIDC令牌中的sub字段值必須滿足該限制條件要求時(shí),角色才允許被扮演。
該限定條件可以使用任何String類(lèi)的條件操作類(lèi)型,且您可以最多設(shè)置10個(gè)OIDC主體作為條件值。該限制條件用于進(jìn)一步限制允許扮演角色的身份主體,您也可以不指定該限制條件。
否
00u294e3mzNXt4Hi****
單擊完成。
單擊關(guān)閉。
后續(xù)步驟
成功創(chuàng)建RAM角色后,該RAM角色沒(méi)有任何權(quán)限,您需要為該RAM角色授權(quán)。具體操作,請(qǐng)參見(jiàn)為RAM角色授權(quán)。