Bastionhost支援與IDaaS認證對接,可將EIAM雲身份服務執行個體使用者同步至Bastionhost作為Bastionhost使用者。本文介紹如何配置、清除IDaaS配置及換綁IDaaS執行個體。
背景資訊
雲身份服務IDaaS(Alibaba Cloud IDentity as a Service,簡稱IDaaS)是阿里雲為企業使用者提供的雲原生的、經濟的、便捷的、標準的身份、許可權管理體系。更多說明,請參見什麼是IDaaS EIAM?。
前提條件
已建立IDaaS EIAM執行個體。具體操作,請參見建立EIAM執行個體。
使用限制
僅Bastionhost企業雙擎版執行個體支援配置IDaaS認證。購買或升配執行個體操作,請參見購買執行個體和升配執行個體規格。
IDaaS使用者暫不支援通過密碼認證方式使用用戶端工具登入Bastionhost進行資產營運,可以通過營運令牌認證方式使用用戶端工具進行營運,或者通過營運門戶進行營運。具體操作,請參見營運使用手冊。
配置IDaaS認證
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,單擊系統設定。
在IDaaS認證頁簽,單擊綁定IDaaS執行個體。
在綁定IDaaS執行個體對話方塊,選擇阿里雲IDaaS執行個體,單擊下一步,在提示框中,單擊確定。
應用程式名稱設定後不可修改。留空則預設使用Bastionhost執行個體ID作為IDaaS應用程式名稱。
如需建立新的IDaaS執行個體,您可以登入阿里雲IDaaS控制台建立。具體操作,請參見建立IDaas執行個體。
在完成引導頁,查看提示資訊,單擊確定。
首次匯入IDaaS賬戶,您可通過以下方式進行。後續如果在IDaaS控制台建立新的賬戶則將自動同步至Bastionhost(頁面)。
方式一:登入阿里雲IDaaS控制台將IDaaS賬戶一鍵推送到Bastionhost。具體說明,請參見賬戶同步-事件回調。
方式二:在Bastionhost頁面,手動匯入IDaaS使用者。手動匯入IDaaS使用者操作說明,請參見建立使用者。
配置項
描述
出口IP
若您的Bastionhost網路有請求IP限制,請將IDaaS的出口IP列表加入您的Bastionhost的白名單中。
同步範圍
設定指定的IDaaS組織機構後,在Bastionhost同步處理的使用者時,僅同步該組織機構下賬戶的變更資料。
SSO發起方
IDaaS發起表示在IDaaS產品控制台通過IDaaS門戶地址登入 。Bastionhost發起表示在Bastionhost營運門戶通過IDaaS賬戶登入。可選:
支援IDaaS和Bastionhost發起
只允許Bastionhost發起
登入發起地址
SSO發起方為IDaaS時需要設定,即IDaaS發起SSO請求訪問的Bastionhost營運門戶地址。可選:
公網營運門戶地址
私網營運門戶地址
手動匯入同步處理的使用者快照間隔時間
設定快照間隔時間後,在Bastionhost手動匯入IDaaS使用者時,將會在指定時間間隔自動將IDaaS證明伺服器中使用者列表同步到本地快照。有效值範圍為[0,4~168]小時,預設為0小時,表示不自動同步處理的使用者快照。手動匯入IDaaS使用者操作說明,請參見建立使用者。
換綁IDaaS執行個體
清空後IDaaS使用者將無法登入Bastionhost,資料不可恢複,請謹慎操作。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,單擊系統設定。
在IDaaS認證頁簽,單擊換綁IDaaS執行個體。
在換綁IDaaS執行個體對話方塊,單擊清空IDaaS使用者並進行下一步,在提示框中,單擊清空IDaaS使用者。
在綁定執行個體頁簽,選擇換綁的IDaaS執行個體單擊下一步,在提示框中,單擊確定。
清除IDaaS認證配置
清除配置後將無法使用IDaaS認證,請謹慎操作。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,單擊系統設定。
在IDaaS認證頁簽,單擊清除配置。
在提示對話方塊,先單擊清空IDaaS使用者,再單擊清除。
單擊清空IDaaS使用者,表示將Bastionhost匯入的IDaaS使用者全部清空,但不解除綁定IDaaS執行個體。單擊清除後,綁定的IDaaS執行個體將被解除綁定。